Wbudowane definicje zasad usługi Azure Policy
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy.
Nazwa każdego wbudowanego linku do definicji zasad w witrynie Azure Portal. Użyj linku w kolumnie Źródło , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy. Wbudowane elementy są pogrupowane według właściwości category w metadanych. Aby przejść do określonej kategorii, użyj klawiszy Ctrl-F dla funkcji wyszukiwania przeglądarki.
Interfejs API dla standardu FHIR
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Interfejs API platformy Azure dla standardu FHIR powinien używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze Azure API for FHIR, gdy jest to wymaganie dotyczące przepisów lub zgodności. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. | inspekcja, inspekcja, wyłączona, wyłączona | 1.1.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego | Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Mechanizm CORS nie powinien zezwalać każdej domenie na dostęp do interfejsu API for FHIR | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do interfejsu API for FHIR. Aby chronić interfejs API dla standardu FHIR, usuń dostęp dla wszystkich domen i jawnie zdefiniuj domeny dozwolone do nawiązania połączenia. | inspekcja, inspekcja, wyłączona, wyłączona | 1.1.0 |
API Management
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Interfejsy API usługi API Management powinny używać tylko zaszyfrowanych protokołów | Aby zapewnić bezpieczeństwo przesyłanych danych, interfejsy API powinny być dostępne tylko za pośrednictwem szyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS. | Inspekcja, Wyłączone, Odmowa | 2.0.2 |
| Wywołania usługi API Management do zapleczy interfejsu API powinny być uwierzytelniane | Wywołania z usługi API Management do zapleczy powinny używać jakiejś formy uwierzytelniania, niezależnie od tego, czy za pośrednictwem certyfikatów, czy poświadczeń. Nie dotyczy zapleczy usługi Service Fabric. | Inspekcja, Wyłączone, Odmowa | 1.0.1 |
| Wywołania usługi API Management do zapleczy interfejsu API nie powinny pomijać odcisku palca certyfikatu ani sprawdzania poprawności nazwy | Aby zwiększyć bezpieczeństwo interfejsu API, usługa API Management powinna zweryfikować certyfikat serwera zaplecza dla wszystkich wywołań interfejsu API. Włącz odcisk palca certyfikatu SSL i walidację nazwy. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
| Nie należy włączać bezpośredniego punktu końcowego zarządzania usługą API Management | Bezpośredni interfejs API REST zarządzania w usłudze Azure API Management pomija mechanizmy kontroli dostępu, autoryzacji i ograniczania dostępu opartej na rolach usługi Azure Resource Manager, co zwiększa lukę w zabezpieczeniach usługi. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
| Minimalna wersja interfejsu API usługi API Management powinna być ustawiona na 2019-12-01 lub nowszą | Aby uniemożliwić udostępnianie wpisów tajnych usługi użytkownikom tylko do odczytu, minimalna wersja interfejsu API powinna być ustawiona na 2019-12-01 lub nowszą. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Wpis tajny usługi API Management o nazwach wartości powinien być przechowywany w usłudze Azure Key Vault | Nazwane wartości to kolekcja par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Aby zwiększyć bezpieczeństwo usługi API Management i wpisów tajnych, odwołaj się do wpisów tajnych nazwanych wartości z usługi Azure Key Vault. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
| Usługa API Management powinna używać jednostki SKU obsługującej sieci wirtualne | W przypadku obsługiwanych jednostek SKU usługi API Management wdrażanie usługi w sieci wirtualnej powoduje odblokowanie zaawansowanych funkcji sieci i zabezpieczeń usługi API Management, co zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://aka.ms/apimvnet. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa API Management powinna wyłączyć dostęp do sieci publicznej do punktów końcowych konfiguracji usługi | Aby zwiększyć bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak bezpośredni interfejs API zarządzania dostępem, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa API Management powinna mieć wyłączone uwierzytelnianie nazwy użytkownika i hasła | Aby lepiej zabezpieczyć portal deweloperów, należy wyłączyć uwierzytelnianie nazwy użytkownika i hasła w usłudze API Management. Konfigurowanie uwierzytelniania użytkowników za pośrednictwem dostawców tożsamości usługi Azure AD lub Azure AD B2C oraz wyłączanie domyślnego uwierzytelniania nazwy użytkownika i hasła. | Inspekcja, wyłączone | 1.0.1 |
| Subskrypcje usługi API Management nie powinny być ograniczone do wszystkich interfejsów API | Subskrypcje usługi API Management powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie na dane. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
| Wersja platformy Azure API Management powinna być następująca: stv2 | Wersja platformy obliczeniowej stv1 usługi Azure API Management zostanie wycofana z dnia 31 sierpnia 2024 r., a te wystąpienia powinny zostać zmigrowane na platformę obliczeniową stv2 w celu zapewnienia dalszej obsługi. Dowiedz się więcej na stronie https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie usług API Management w celu wyłączenia dostępu do punktów końcowych konfiguracji usługi publicznej usługi API Management | Aby zwiększyć bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak bezpośredni interfejs API zarządzania dostępem, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie. | DeployIfNotExists, Disabled | 1.1.0 |
| Modyfikowanie usługi API Management w celu wyłączenia uwierzytelniania nazwy użytkownika i hasła | Aby lepiej zabezpieczyć konta użytkowników portalu deweloperów i ich poświadczenia, skonfiguruj uwierzytelnianie użytkowników za pośrednictwem dostawców tożsamości usługi Azure AD lub Azure AD B2C i wyłącz domyślną nazwę użytkownika i uwierzytelnianie hasłem. | Modyfikowanie | 1.1.0 |
Konfiguracja aplikacji
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfiguracja aplikacji powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa App Configuration powinna używać klucza zarządzanego przez klienta | Klucze zarządzane przez klienta zapewniają rozszerzoną ochronę danych, umożliwiając zarządzanie kluczami szyfrowania. Jest to często wymagane do spełnienia wymagań dotyczących zgodności. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Usługa App Configuration powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku korzystania z obsługiwanej jednostki SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Magazyny usługi App Configuration powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że magazyny usługi App Configuration wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2161954. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konfigurowanie magazynów usługi App Configuration w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz lokalne metody uwierzytelniania, aby magazyny usługi App Configuration wymagały wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2161954. | Modyfikowanie, wyłączone | 1.0.1 |
| Konfigurowanie konfiguracji aplikacji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi App Configuration, aby nie był dostępny za pośrednictwem publicznego Internetu. Ta konfiguracja pomaga chronić je przed ryzykiem wycieku danych. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych połączonych z usługą App Configuration | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS może być połączona z siecią wirtualną w celu rozpoznawania wystąpień konfiguracji aplikacji. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnych punktów końcowych dla usługi App Configuration | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień konfiguracji aplikacji, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Platforma aplikacji
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Inspekcja wystąpień usługi Azure Spring Cloud, w których śledzenie rozproszone nie jest włączone | Narzędzia do śledzenia rozproszonego w usłudze Azure Spring Cloud umożliwiają debugowanie i monitorowanie złożonych połączeń między mikrousługami w aplikacji. Narzędzia do śledzenia rozproszonego powinny być włączone i w dobrej kondycji. | Inspekcja, wyłączone | 1.0.0-preview |
| Usługa Azure Spring Cloud powinna używać iniekcji sieci | Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. | Inspekcja, Wyłączone, Odmowa | 1.2.0 |
App Service
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Miejsca aplikacji usługi App Service powinny być wstrzykiwane do sieci wirtualnej | Wstrzykiwanie aplikacji usługi App Service w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieciowych i zabezpieczeń usługi App Service oraz zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny włączyć routing konfiguracji do usługi Azure Virtual Network | Domyślnie konfiguracja aplikacji, taka jak ściąganie obrazów kontenerów i instalowanie magazynu zawartości, nie będzie kierowana przez regionalną integrację sieci wirtualnej. Użycie interfejsu API do ustawienia opcji routingu na wartość true umożliwia ruch konfiguracji za pośrednictwem sieci wirtualnej platformy Azure. Te ustawienia umożliwiają korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika, a punkty końcowe usługi są prywatne. Aby uzyskać więcej informacji, zobacz https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny włączać ruch wychodzący inny niż RFC 1918 do usługi Azure Virtual Network | Jeśli domyślnie korzystasz z regionalnej integracji usługi Azure Virtual Network (VNET), aplikacja kieruje tylko RFC1918 ruchu do odpowiedniej sieci wirtualnej. Użycie interfejsu API do ustawienia wartości "vnetRouteAllEnabled" na wartość true włącza cały ruch wychodzący do sieci wirtualnej platformy Azure. To ustawienie umożliwia korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika dla całego ruchu wychodzącego z aplikacji usługi App Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń lokacji programu SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft Entra na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 1.0.1 |
| Miejsca aplikacji usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Miejsca aplikacji usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP | Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny być wstrzykiwane do sieci wirtualnej | Wstrzykiwanie aplikacji usługi App Service w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieciowych i zabezpieczeń usługi App Service oraz zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Aplikacje usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
| Aplikacje usługi App Service powinny włączyć routing konfiguracji do usługi Azure Virtual Network | Domyślnie konfiguracja aplikacji, taka jak ściąganie obrazów kontenerów i instalowanie magazynu zawartości, nie będzie kierowana przez regionalną integrację sieci wirtualnej. Użycie interfejsu API do ustawienia opcji routingu na wartość true umożliwia ruch konfiguracji za pośrednictwem sieci wirtualnej platformy Azure. Te ustawienia umożliwiają korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika, a punkty końcowe usługi są prywatne. Aby uzyskać więcej informacji, zobacz https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aplikacje usługi App Service powinny włączać ruch wychodzący inny niż RFC 1918 do usługi Azure Virtual Network | Jeśli domyślnie korzystasz z regionalnej integracji usługi Azure Virtual Network (VNET), aplikacja kieruje tylko RFC1918 ruchu do odpowiedniej sieci wirtualnej. Użycie interfejsu API do ustawienia wartości "vnetRouteAllEnabled" na wartość true włącza cały ruch wychodzący do sieci wirtualnej platformy Azure. To ustawienie umożliwia korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika dla całego ruchu wychodzącego z aplikacji usługi App Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń lokacji programu SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać jednostki SKU obsługującej link prywatny | W przypadku obsługiwanych jednostek SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na aplikacje, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/private-link. | Inspekcja, Odmowa, Wyłączone | 4.1.0 |
| Aplikacje usługi App Service powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać linku prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę App Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje usługi App Service korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 3.1.0 |
| Aplikacje usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP | Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania. | AuditIfNotExists, Disabled | 3.2.0 |
| Aplikacje usługi App Service korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 4.1.0 |
| Aplikacje środowiska App Service Environment nie powinny być dostępne za pośrednictwem publicznego Internetu | Aby zapewnić, że aplikacje wdrożone w środowisku App Service Environment nie są dostępne za pośrednictwem publicznego Internetu, należy wdrożyć środowisko App Service Environment z adresem IP w sieci wirtualnej. Aby ustawić adres IP na adres IP sieci wirtualnej, należy wdrożyć środowisko App Service Environment z wewnętrznym modułem równoważenia obciążenia. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Środowisko App Service Environment powinno być skonfigurowane przy użyciu najsilniejszych zestawów szyfrowania TLS | Dwa najbardziej minimalne i najsilniejsze zestawy szyfrowania wymagane do poprawnego działania środowiska App Service Environment to: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 i TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Inspekcja, wyłączone | 1.0.0 |
| Środowisko App Service Environment powinno być aprowizowane przy użyciu najnowszych wersji | Zezwalaj na aprowizację tylko środowiska App Service Environment w wersji 2 lub 3. Starsze wersje środowiska App Service Environment wymagają ręcznego zarządzania zasobami platformy Azure i mają większe ograniczenia skalowania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne | Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Inspekcja, wyłączone | 1.0.1 |
| Środowisko App Service Environment powinno mieć wyłączone protokoły TLS 1.0 i 1.1 | Protokoły TLS 1.0 i 1.1 są nieaktualne, które nie obsługują nowoczesnych algorytmów kryptograficznych. Wyłączenie przychodzącego ruchu TLS 1.0 i 1.1 pomaga zabezpieczyć aplikacje w środowisku App Service Environment. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla witryn SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft Entra na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usług App Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie miejsc aplikacji usługi App Service tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie miejsc aplikacji usługi App Service do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla witryn SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usług App Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie aplikacji usługi App Service tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie aplikacji usługi App Service do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy sieć wirtualną z usługą App Service. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie aplikacji usługi App Service do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie miejsc aplikacji funkcji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla aplikacji funkcji, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie miejsc aplikacji funkcji tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie miejsc aplikacji funkcji w celu wyłączenia zdalnego debugowania | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacji funkcji. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie miejsc aplikacji funkcji do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie aplikacji funkcji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla aplikacji funkcji, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie aplikacji funkcji tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie aplikacji funkcji w celu wyłączenia zdalnego debugowania | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie aplikacji funkcji do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.0.1 |
| Miejsca aplikacji funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Miejsca aplikacji funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny być wyłączone zdalnego debugowania | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Miejsca aplikacji funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji funkcji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 1.0.0 |
| Miejsca aplikacji funkcji powinny używać najnowszej wersji http | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Aplikacje funkcji powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji funkcji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje funkcji korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 3.1.0 |
| Aplikacje funkcji korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 4.1.0 |
Zaświadczanie
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dostawcy zaświadczania platformy Azure powinni wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo usługi zaświadczania platformy Azure, upewnij się, że nie jest ona widoczna w publicznym Internecie i może być dostępna tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w aka.ms/azureattestation. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dostawcy zaświadczania platformy Azure powinni używać prywatnych punktów końcowych | Prywatne punkty końcowe umożliwiają łączenie dostawców zaświadczania platformy Azure z zasobami platformy Azure bez wysyłania ruchu przez publiczny Internet. Uniemożliwiając dostęp publiczny, prywatne punkty końcowe pomagają chronić przed niepożądanym dostępem anonimowym. | AuditIfNotExists, Disabled | 1.0.0 |
Automanage
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Tożsamość zarządzana powinna być włączona na maszynach | Zasoby zarządzane przez program Automanage powinny mieć tożsamość zarządzaną. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Przypisanie profilu konfiguracji automatycznego zarządzania powinno być zgodne | Zasoby zarządzane przez funkcję Automanage powinny mieć stan Zgodne lub ZgodneKorekty. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Diagnostyka rozruchu powinna być włączona na maszynach wirtualnych | Maszyny wirtualne platformy Azure powinny mieć włączoną diagnostykę rozruchu. | Inspekcja, wyłączone | 1.0.0-preview |
| Konfigurowanie maszyn wirtualnych do dołączenia do usługi Azure Automanage | Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage do wybranego zakresu. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurowanie maszyn wirtualnych do dołączania do usługi Azure Automanage przy użyciu niestandardowego profilu konfiguracji | Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage z własnym dostosowanym profilem konfiguracji do wybranego zakresu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Na gorąco należy włączyć maszyny wirtualne z systemem Windows Server Azure Edition | Zminimalizuj ponowne uruchomienie i szybko zainstaluj aktualizacje przy użyciu funkcji hotpatch. Dowiedz się więcej na stronie https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Automation
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konto usługi Automation powinno mieć tożsamość zarządzaną | Użyj tożsamości zarządzanych jako zalecanej metody uwierzytelniania za pomocą zasobów platformy Azure z elementów Runbook. Tożsamość zarządzana na potrzeby uwierzytelniania jest bezpieczniejsza i eliminuje obciążenie związane z zarządzaniem skojarzonym z użyciem konta Uruchom jako w kodzie elementu Runbook. | Inspekcja, wyłączone | 1.0.0 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta usługi Automation powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego możesz ograniczyć narażenie zasobów konta usługi Automation, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konto usługi Azure Automation powinno mieć wyłączoną lokalną metodę uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że konta usługi Azure Automation wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta usługi Azure Automation powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku kont usługi Azure Automation. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/automation-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie konta usługi Azure Automation w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby konta usługi Azure Automation wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie kont usługi Azure Automation w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla konta usługi Azure Automation, aby nie był dostępny za pośrednictwem publicznego Internetu. Ta konfiguracja pomaga chronić je przed ryzykiem wycieku danych. Zamiast tego możesz ograniczyć narażenie zasobów konta usługi Automation, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie kont usługi Azure Automation z prywatnymi strefami DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Aby nawiązać połączenie z kontem usługi Azure Automation za pośrednictwem usługi Azure Private Link, potrzebna jest prywatna strefa DNS. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie połączeń prywatnych punktów końcowych na kontach usługi Azure Automation | Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z kontami usługi Azure Automation bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Dowiedz się więcej o prywatnych punktach końcowych w usłudze Azure Automation pod adresem https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego na kontach usługi Automation | Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z kontami usługi Automation bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Dowiedz się więcej o prywatnych punktach końcowych w usłudze Azure Automation pod adresem https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Domeny zarządzane usług Azure domena usługi Active Directory Services powinny używać tylko trybu TLS 1.2 | Używaj trybu tls 1.2 tylko dla domen zarządzanych. Domyślnie usługi Azure AD Domain Services umożliwiają korzystanie z szyfrów, takich jak NTLM v1 i TLS v1. Te szyfry mogą być wymagane w przypadku niektórych starszych aplikacji, ale są uważane za słabe i mogą być wyłączone, jeśli ich nie potrzebujesz. Po włączeniu trybu tylko protokołu TLS 1.2 każdy klient wysyłający żądanie, które nie korzysta z protokołu TLS 1.2, zakończy się niepowodzeniem. Dowiedz się więcej na https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Usługi platformy Azure AI
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Konfigurowanie zasobów usług Azure AI Services w celu wyłączenia dostępu do klucza lokalnego (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów usług Azure AI Services w celu wyłączenia dostępu do klucza lokalnego (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Dzienniki diagnostyczne w zasobach usług AI platformy Azure powinny być włączone | Włączanie dzienników dla zasobów usług Azure AI. Dzięki temu można odtworzyć ślady aktywności na potrzeby badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona | AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Odmowa utworzenia lub modyfikacji licencji rozszerzonego Aktualizacje zabezpieczeń (ESU). | Te zasady umożliwiają ograniczenie tworzenia lub modyfikowania licencji ESU dla maszyn z systemem Windows Server 2012 Arc. Aby uzyskać więcej informacji na temat cen, odwiedź stronę https://aka.ms/ArcWS2012ESUPricing | Odmów, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Włączanie licencji rozszerzonego Aktualizacje zabezpieczeń (ESU) w celu zapewnienia ochrony maszyn z systemem Windows 2012 po zakończeniu cyklu wsparcia technicznego. | Włącz licencję rozszerzonego Aktualizacje zabezpieczeń (ESU), aby zapewnić ochronę maszyn z systemem Windows 2012 nawet po zakończeniu cyklu wsparcia technicznego. Dowiedz się, jak przygotować się do dostarczania rozszerzonych Aktualizacje zabezpieczeń dla systemu Windows Server 2012 za pośrednictwem usługi AzureArc, odwiedź stronę https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Aby uzyskać więcej informacji na temat cen, odwiedź stronę https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
| Zakresy usługi Azure Arc Private Link powinny być skonfigurowane z prywatnym punktem końcowym | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zakresy usługi Azure Arc Private Link powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Zakresy usługi Azure Arc Private Link powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasoby usługi Azure Arc nie mogą łączyć się za pośrednictwem publicznego Internetu. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów usługi Azure Arc. Dowiedz się więcej na stronie: https://aka.ms/arc/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry kubernetes z obsługą usługi Azure Arc powinny być skonfigurowane z zakresem usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Serwery z obsługą usługi Azure Arc powinny być skonfigurowane z zakresem usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie zakresów usługi Azure Arc Private Link w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zakresu usługi Azure Arc Private Link, aby skojarzone zasoby usługi Azure Arc nie mogły łączyć się z usługami Azure Arc za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/arc/privatelink. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie zakresów usługi Azure Arc Private Link do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zakresów usługi Azure Arc Private Link. Dowiedz się więcej na stronie: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie zakresów usługi Azure Arc Private Link z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zakresy usługi Azure Arc Private Link, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc do korzystania z zakresu usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie serwerów z obsługą usługi Azure Arc do korzystania z zakresu usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Modyfikowanie, wyłączone | 1.0.0 |
Azure Data Explorer
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie Administracja bazy danych w usłudze Azure Data Explorer powinny być wyłączone | Wyłącz całą rolę administratora bazy danych, aby ograniczyć przyznawanie roli użytkownika z wysokimi uprawnieniami/administratorami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klaster usługi Azure Data Explorer powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do klastra usługi Azure Data Explorer, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Inspekcja, wyłączone | 1.0.0 |
| Szyfrowanie magazynowane w usłudze Azure Data Explorer powinno używać klucza zarządzanego przez klienta | Włączenie szyfrowania magazynowanych przy użyciu klucza zarządzanego przez klienta w klastrze usługi Azure Data Explorer zapewnia dodatkową kontrolę nad kluczem używanym przez szyfrowanie magazynowane. Ta funkcja jest często stosowana do klientów z specjalnymi wymaganiami dotyczącymi zgodności i wymaga usługi Key Vault do zarządzania kluczami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Data Explorer powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na aplikacje, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/private-link. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie klastrów usługi Azure Data Explorer z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do usługi Azure Data Explorer, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: [ServiceSpecificAKA.ms]. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Data Explorer w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej wyłącza łączność publiczną, tak aby dostęp do usługi Azure Data Explorer był uzyskiwany tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp do sieci publicznej dla wszystkich klastrów usługi Azure Data Explorer. | Modyfikowanie, wyłączone | 1.0.0 |
| Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer | Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej w usłudze Azure Data Explorer powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure Data Explorer tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wstrzykiwanie sieci wirtualnej powinno być włączone dla usługi Azure Data Explorer | Zabezpiecz obwód sieci za pomocą iniekcji sieci wirtualnej, która umożliwia wymuszanie reguł sieciowej grupy zabezpieczeń, łączenie lokalnych i zabezpieczanie źródeł połączeń danych za pomocą punktów końcowych usługi. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Azure Databricks
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Klastry usługi Azure Databricks powinny wyłączyć publiczny adres IP | Wyłączenie publicznego adresu IP klastrów w obszarach roboczych usługi Azure Databricks zwiększa bezpieczeństwo, zapewniając, że klastry nie są uwidocznione w publicznym Internecie. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Obszary robocze usługi Azure Databricks powinny znajdować się w sieci wirtualnej | Sieci wirtualne platformy Azure zapewniają zwiększone zabezpieczenia i izolację dla obszarów roboczych usługi Azure Databricks, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Obszary robocze usługi Azure Databricks powinny być jednostkami SKU w warstwie Premium, która obsługuje funkcje, takie jak link prywatny, klucz zarządzany przez klienta na potrzeby szyfrowania | Zezwalaj tylko na obszar roboczy usługi Databricks z jednostkami SKU w warstwie Premium, którą organizacja może wdrożyć w celu obsługi funkcji, takich jak Usługa Private Link, klucz zarządzany przez klienta na potrzeby szyfrowania. Dowiedz się więcej na stronie: https://aka.ms/adbpe. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Obszary robocze usługi Azure Databricks powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję zasobów, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Obszary robocze usługi Azure Databricks powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Databricks, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/adbpe. | Inspekcja, wyłączone | 1.0.2 |
| Konfigurowanie obszaru roboczego usługi Azure Databricks do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania obszarów roboczych usługi Azure Databricks. Dowiedz się więcej na stronie: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie obszarów roboczych usługi Azure Databricks z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na obszary robocze usługi Azure Databricks, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.2 |
| Konfigurowanie ustawień diagnostycznych dla obszarów roboczych usługi Azure Databricks w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne obszarów roboczych usługi Azure Databricks w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy dowolny obszar roboczy usługi Azure Databricks, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 1.0.1 |
| Dzienniki zasobów w obszarach roboczych usługi Azure Databricks powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AuditIfNotExists, Disabled | 1.0.1 |
Centrum sprzętu usługi Azure Edge
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Urządzenia azure Edge Hardware Center powinny mieć włączoną obsługę podwójnego szyfrowania | Upewnij się, że urządzenia uporządkowane w usłudze Azure Edge Hardware Center mają włączoną obsługę podwójnego szyfrowania, aby zabezpieczyć dane magazynowane na urządzeniu. Ta opcja dodaje drugą warstwę szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Azure Load Testing
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zasób testowania obciążenia platformy Azure powinien używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta (CMK), aby zarządzać szyfrowaniem magazynowanych dla zasobu usługi Azure Load Testing. Domyślnie szyfrowanie odbywa się przy użyciu kluczy zarządzanych przez usługę, klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Azure Purview
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta usługi Azure Purview powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konta usługi Azure Purview zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/purview-private-link. | Inspekcja, wyłączone | 1.0.0 |
Azure Stack Edge
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania | Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
Azure Update Manager
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Ustaw wymagania wstępne dotyczące planowania cyklicznych aktualizacji na maszynach wirtualnych platformy Azure. | Te zasady ustawią wymagania wstępne wymagane do zaplanowannia cyklicznych aktualizacji w usłudze Azure Update Manager, konfigurując aranżację poprawek na "Harmonogramy zarządzane przez klienta". Ta zmiana spowoduje automatyczne ustawienie trybu poprawki na wartość "AutomaticByPlatform" i włącza wartość "BypassPlatform Sejf tyChecksOnUserSchedule" na wartość "True" na maszynach wirtualnych platformy Azure. Wymagania wstępne nie mają zastosowania dla serwerów z obsługą usługi Arc. Dowiedz się więcej- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Disabled | 1.0.0-preview |
| Konfigurowanie okresowego sprawdzania brakujących aktualizacji systemu na serwerach z obsługą usługi Azure Arc | Skonfiguruj automatyczną ocenę (co 24 godziny) pod kątem aktualizacji systemu operacyjnego na serwerach z obsługą usługi Azure Arc. Zakres przypisywania można kontrolować zgodnie z subskrypcją maszyny, grupą zasobów, lokalizacją lub tagiem. Dowiedz się więcej o tym dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Modyfikowanie | 2.2.1 |
| Konfigurowanie okresowego sprawdzania brakujących aktualizacji systemu na maszynach wirtualnych platformy Azure | Skonfiguruj automatyczną ocenę (co 24 godziny) pod kątem aktualizacji systemu operacyjnego na natywnych maszynach wirtualnych platformy Azure. Zakres przypisywania można kontrolować zgodnie z subskrypcją maszyny, grupą zasobów, lokalizacją lub tagiem. Dowiedz się więcej o tym dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Modyfikowanie | 4.8.0 |
| Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Inspekcja, Odmowa, Wyłączone | 3.7.0 |
| Planowanie cyklicznych aktualizacji przy użyciu usługi Azure Update Manager | Program Azure Update Manager na platformie Azure umożliwia zapisywanie cyklicznych harmonogramów wdrażania w celu zainstalowania aktualizacji systemu operacyjnego dla maszyn z systemem Windows Server i Linux na platformie Azure, w środowiskach lokalnych i w innych środowiskach w chmurze połączonych przy użyciu serwerów z obsługą usługi Azure Arc. Te zasady zmienią również tryb stosowania poprawek dla maszyny wirtualnej platformy Azure na "AutomaticByPlatform". Zobacz więcej: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
Wykonywanie kopii zapasowej
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Rozszerzenie usługi Azure Backup powinno być zainstalowane w klastrach usługi AKS | Upewnij się, że instalacja rozszerzenia kopii zapasowej w klastrach usługi AKS umożliwia korzystanie z usługi Azure Backup. Usługa Azure Backup for AKS to bezpieczne rozwiązanie do ochrony danych natywnych dla chmury dla klastrów usługi AKS | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Azure Backup powinna być włączona dla klastrów usługi AKS | Zapewnij ochronę klastrów usługi AKS, włączając usługę Azure Backup. Usługa Azure Backup dla usługi AKS to bezpieczne i natywne rozwiązanie do ochrony danych w chmurze dla klastrów usługi AKS. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Azure Backup powinna być włączona dla obiektów blob na kontach magazynu | Zapewnij ochronę kont magazynu, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Azure Backup powinna być włączona dla Dyski zarządzane | Zapewnij ochronę Dyski zarządzane, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Azure Backup powinny używać kluczy zarządzanych przez klienta do szyfrowania danych kopii zapasowej. Ponadto opcja wymuszania szyfrowania infrastruktury. | Te zasady są zgodne z "efektem", jeśli Ustawienia szyfrowania są włączone dla magazynów kopii zapasowych w zakresie. Ponadto opcja sprawdzania, czy magazyn kopii zapasowych ma również włączone szyfrowanie infrastruktury. Dowiedz się więcej na https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Należy pamiętać, że w przypadku użycia efektu "Odmów" należy włączyć Ustawienia szyfrowania w istniejących magazynach kopii zapasowych, aby umożliwić wykonywanie innych operacji aktualizacji w magazynie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że magazyn usługi Recovery Services nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie magazynu usługi Recovery Services. Dowiedz się więcej na stronie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać kluczy zarządzanych przez klienta do szyfrowania danych kopii zapasowej | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem przechowywanym w danych kopii zapasowej. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/AB-CmkEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać linku prywatnego do tworzenia kopii zapasowych | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do magazynów usługi Azure Recovery Services, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/AB-PrivateEndpoints. | Inspekcja, wyłączone | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Azure Recovery Services w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla magazynu usługi Recovery Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Modyfikowanie, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla obiektów blob na kontach magazynu przy użyciu danego tagu do istniejącego magazynu kopii zapasowych w tym samym regionie | Wymuszanie tworzenia kopii zapasowej dla obiektów blob na wszystkich kontach magazynu, które zawierają dany tag do centralnego magazynu kopii zapasowych. Może to pomóc w zarządzaniu kopiami zapasowymi obiektów blob zawartych na wielu kontach magazynu na dużą skalę. Więcej informacji zawiera artykuł https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej obiektów blob dla wszystkich kont magazynu, które nie zawierają danego tagu do magazynu kopii zapasowych w tym samym regionie | Wymuszanie tworzenia kopii zapasowych obiektów blob na wszystkich kontach magazynu, które nie zawierają danego tagu w centralnym magazynie kopii zapasowych. Może to pomóc w zarządzaniu kopiami zapasowymi obiektów blob zawartych na wielu kontach magazynu na dużą skalę. Więcej informacji zawiera artykuł https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Recovery Services do używania prywatnych stref DNS do tworzenia kopii zapasowych | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania magazynu usługi Recovery Services. Dowiedz się więcej na stronie: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Recovery Services pod kątem używania prywatnych punktów końcowych do tworzenia kopii zapasowych | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na magazyny usługi Recovery Services, można zmniejszyć ryzyko wycieku danych. Należy pamiętać, że magazyny muszą spełniać określone wymagania wstępne, aby kwalifikować się do konfiguracji prywatnego punktu końcowego. Dowiedz się więcej na stronie : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Wyłączanie przywracania między subskrypcjami dla magazynów usługi Azure Recovery Services | Wyłącz lub trwaleDisable Cross Subscription Restore dla magazynu usługi Recovery Services, aby obiekty docelowe przywracania nie mogły znajdować się w innej subskrypcji niż subskrypcja magazynu. Dowiedz się więcej na stronie: https://aka.ms/csrenhancements. | Modyfikowanie, wyłączone | 1.1.0-preview |
| [Wersja zapoznawcza]: Wyłączanie przywracania między subskrypcjami dla magazynów kopii zapasowych | Wyłącz lub trwaleDisable Cross Subscription Restore dla magazynu kopii zapasowych, aby obiekty docelowe przywracania nie mogły znajdować się w innej subskrypcji niż subskrypcja magazynu. Dowiedz się więcej na stronie: https://aka.ms/csrstatechange. | Modyfikowanie, wyłączone | 1.1.0-preview |
| [Wersja zapoznawcza]: nie zezwalaj na tworzenie magazynów usługi Recovery Services wybranych nadmiarowości magazynu. | Magazyny usługi Recovery Services można tworzyć z dowolną z trzech opcji nadmiarowości magazynu, czyli magazynem lokalnie nadmiarowym, magazynem strefowo nadmiarowym i magazynem geograficznie nadmiarowym. Jeśli zasady w organizacji wymagają zablokowania tworzenia magazynów należących do określonego typu nadmiarowości, można to zrobić przy użyciu tych zasad platformy Azure. | Odmów, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Dla magazynów kopii zapasowych musi być włączona niezmienność | Te zasady sprawdzają, czy właściwość magazynów niezmiennych jest włączona dla magazynów kopii zapasowych w zakresie. Pomaga to chronić dane kopii zapasowej przed usunięciem przed jej zamierzonym wygaśnięciem. Dowiedz się więcej na https://aka.ms/AB-ImmutableVaults. | Inspekcja, wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Dla magazynów usługi Recovery Services musi być włączona niezmienność | Te zasady sprawdzają, czy właściwość magazynów niezmiennych jest włączona dla magazynów usługi Recovery Services w zakresie. Pomaga to chronić dane kopii zapasowej przed usunięciem przed jej zamierzonym wygaśnięciem. Dowiedz się więcej na https://aka.ms/AB-ImmutableVaults. | Inspekcja, wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Dla magazynów kopii zapasowych musi być włączona autoryzacja wielu użytkowników (MUA). | Te zasady sprawdzają, czy dla magazynów kopii zapasowych włączono autoryzację wielu użytkowników (MUA). Usługa MUA pomaga w zabezpieczaniu magazynów kopii zapasowych przez dodanie dodatkowej warstwy ochrony do krytycznych operacji. Aby uzyskać dodatkowe informacje, odwiedź stronę https://aka.ms/mua-for-bv. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Dla magazynów usługi Recovery Services musi być włączona autoryzacja wielu użytkowników (MUA). | Te zasady sprawdzają, czy dla magazynów usługi Recovery Services włączono autoryzację wielu użytkowników (MUA). Usługa MUA pomaga w zabezpieczaniu magazynów usługi Recovery Services przez dodanie dodatkowej warstwy ochrony do krytycznych operacji. Aby uzyskać dodatkowe informacje, odwiedź stronę https://aka.ms/MUAforRSV. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usuwanie nietrwałe musi być włączone dla magazynów usługi Recovery Services. | Te zasady sprawdzają, czy usuwanie nietrwałe jest włączone dla magazynów usługi Recovery Services w zakresie. Usuwanie nietrwałe może pomóc w odzyskiwaniu danych nawet po jego usunięciu. Dowiedz się więcej na https://aka.ms/AB-SoftDelete. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usuwanie nietrwałe powinno być włączone dla magazynów kopii zapasowych | Te zasady sprawdzają, czy usuwanie nietrwałe jest włączone dla magazynów kopii zapasowych w zakresie. Usuwanie nietrwałe może pomóc w odzyskaniu danych po jego usunięciu. Dowiedz się więcej na stronie https://aka.ms/AB-SoftDelete | Inspekcja, wyłączone | 1.0.0-preview |
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami | Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami | Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Wdróż Ustawienia diagnostyczne dla magazynu usługi Recovery Services w obszarze roboczym usługi Log Analytics dla określonych kategorii zasobów. | Wdróż Ustawienia diagnostyczne dla magazynu usługi Recovery Services w celu przesyłania strumieniowego do obszaru roboczego usługi Log Analytics dla kategorii specyficznych dla zasobów. Jeśli którakolwiek z kategorii specyficznych dla zasobu nie jest włączona, zostanie utworzone nowe ustawienie diagnostyczne. | deployIfNotExists | 1.0.2 |
Batch
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konto usługi Azure Batch powinno używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych danych konta usługi Batch. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/Batch-CMK. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Pule usługi Azure Batch powinny mieć włączone szyfrowanie dysków | Włączenie szyfrowania dysków usługi Azure Batch gwarantuje, że dane są zawsze szyfrowane podczas magazynowania w węźle obliczeniowym usługi Azure Batch. Dowiedz się więcej o szyfrowaniu dysków w usłudze Batch pod adresem https://docs.microsoft.com/azure/batch/disk-encryption. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Konta usługi Batch powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że konta usługi Batch wymagają tożsamości usługi Azure Active Directory wyłącznie na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/batch/auth. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie kont usługi Batch w celu wyłączenia uwierzytelniania lokalnego | Wyłącz metody uwierzytelniania lokalizacji, aby konta usługi Batch wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/batch/auth. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie kont usługi Batch w celu wyłączenia dostępu do sieci publicznej | Wyłączenie dostępu do sieci publicznej na koncie usługi Batch zwiększa bezpieczeństwo, zapewniając dostęp do konta usługi Batch tylko z prywatnego punktu końcowego. Dowiedz się więcej na temat wyłączania dostępu do sieci publicznej pod adresem https://docs.microsoft.com/azure/batch/private-connectivity. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie kont usługi Batch z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na konta usługi Batch, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych łączących się z kontami usługi Batch | Prywatna strefa DNS rekordy zezwalają na połączenia prywatne z prywatnymi punktami końcowymi. Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z kontami usługi Batch bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i stref DNS w usłudze Batch, zobacz https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Reguły alertów dotyczących metryk powinny być konfigurowane na kontach usługi Batch | Inspekcja konfiguracji reguł alertów dotyczących metryk na koncie usługi Batch w celu włączenia wymaganej metryki | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego na kontach usługi Batch | Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z kontami usługi Batch bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Dowiedz się więcej o prywatnych punktach końcowych w usłudze Batch pod adresem https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla kont usługi Batch | Wyłączenie dostępu do sieci publicznej na koncie usługi Batch zwiększa bezpieczeństwo, zapewniając dostęp do konta usługi Batch tylko z prywatnego punktu końcowego. Dowiedz się więcej na temat wyłączania dostępu do sieci publicznej pod adresem https://docs.microsoft.com/azure/batch/private-connectivity. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Bot Service
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Punkt końcowy usługi Bot Service powinien być prawidłowym identyfikatorem URI HTTPS | Dane mogą zostać naruszone podczas przesyłania. Istnieją protokoły, które zapewniają szyfrowanie w celu rozwiązywania problemów związanych z nieprawidłowym wykorzystaniem i manipulowaniem. Aby upewnić się, że boty komunikują się tylko za pośrednictwem zaszyfrowanych kanałów, ustaw punkt końcowy na prawidłowy identyfikator URI HTTPS. Dzięki temu protokół HTTPS jest używany do szyfrowania danych przesyłanych i często jest wymagany do zapewnienia zgodności ze standardami prawnymi lub branżowymi. Odwiedź stronę: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Usługa Bot Service powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta | Usługa Azure Bot Service automatycznie szyfruje zasób w celu ochrony danych i spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Domyślnie używane są klucze szyfrowania zarządzane przez firmę Microsoft. Aby uzyskać większą elastyczność zarządzania kluczami lub kontrolowania dostępu do subskrypcji, wybierz klucze zarządzane przez klienta, znane również jako bring your own key (BYOK). Dowiedz się więcej o szyfrowaniu usługi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Usługa Bot Service powinna mieć włączony tryb izolowany | Boty powinny być ustawione na tryb "tylko izolowany". To ustawienie umożliwia skonfigurowanie kanałów usługi Bot Service, które wymagają wyłączenia ruchu przez publiczny Internet. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
| Usługa Bot Service powinna mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że bot korzysta wyłącznie z usługi AAD do uwierzytelniania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Bot Service powinna mieć wyłączony dostęp do sieci publicznej | Boty powinny być ustawione na tryb "tylko izolowany". To ustawienie umożliwia skonfigurowanie kanałów usługi Bot Service, które wymagają wyłączenia ruchu przez publiczny Internet. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasoby usługi BotService powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasób usługi BotService powoduje zmniejszenie ryzyka wycieku danych. | Inspekcja, wyłączone | 1.0.0 |
| Konfigurowanie zasobów usługi BotService do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobów powiązanych z usługą BotService. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów usługi BotService przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasób usługi BotService, można zmniejszyć ryzyko wycieku danych. | DeployIfNotExists, Disabled | 1.0.0 |
Pamięć podręczna
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Cache for Redis powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cache for Redis nie jest uwidoczniona w publicznym Internecie. Zamiast tego możesz ograniczyć narażenie usługi Azure Cache for Redis, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Cache for Redis w celu wyłączenia portów innych niż SSL | Włącz połączenia SSL tylko z usługą Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Cache for Redis w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi Azure Cache for Redis, aby nie był dostępny za pośrednictwem publicznego Internetu. Pomaga to chronić pamięć podręczną przed ryzykiem wycieku danych. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Cache for Redis do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS może być połączona z siecią wirtualną, aby rozpoznać usługę Azure Cache for Redis. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Cache for Redis z prywatnymi punktami końcowymi | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby usługi Azure Cache for Redis, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
CDN
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Profile usługi Azure Front Door powinny używać warstwy Premium obsługującej zarządzane reguły zapory aplikacji internetowej i link prywatny | Usługa Azure Front Door Premium obsługuje reguły zarządzanej zapory aplikacji internetowej platformy Azure i link prywatny do obsługiwanych źródeł platformy Azure. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Front Door Standard i Premium powinna mieć minimalną wersję protokołu TLS w wersji 1.2 | Ustawienie minimalnej wersji protokołu TLS na 1.2 zwiększa bezpieczeństwo, zapewniając dostęp do domen niestandardowych od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ są słabe i nie obsługują nowoczesnych algorytmów kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zabezpieczanie prywatnej łączności między usługą Azure Front Door Premium i usługą Azure Storage Blob lub aplikacja systemu Azure Service | Usługa Private Link zapewnia łączność prywatną między usługą AFD Premium i usługą Azure Storage Blob lub aplikacja systemu Azure Service za pośrednictwem sieci szkieletowej platformy Azure, bez publicznego uwidocznienia obiektu blob usługi Azure Storage lub usługi aplikacja systemu Azure Service w Internecie. | Inspekcja, wyłączone | 1.0.0 |
ChangeTrackingAndInventory
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Linux Arc do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć maszyny z obsługą usługi Linux Arc w określonej regule zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Linux Arc w celu zainstalowania usługi AMA na potrzeby rozwiązania ChangeTracking i spisu | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Linux Arc w celu włączenia rozwiązania ChangeTracking i spisu. Te zasady zainstalują rozszerzenie, jeśli region jest obsługiwany. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0—wersja zapoznawcza |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych dla funkcji ChangeTracking i Inventory | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Linux z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Linux w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Linux z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Linux w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0—wersja zapoznawcza |
| [Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Windows Arc do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć maszyny z obsługą usługi Windows Arc w określonej regule zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Windows Arc w celu zainstalowania usługi AMA na potrzeby rozwiązania ChangeTracking i spisu | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Windows Arc w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych dla funkcji ChangeTracking i Inventory | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Windows w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Windows z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Windows w celu zainstalowania usługi AMA na potrzeby rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
Cognitive Services
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta usług Cognitive Services powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta | Klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przechowywanych w usługach Cognitive Services za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o kluczach zarządzanych przez klienta na stronie https://go.microsoft.com/fwlink/?linkid=2121321. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Konta usług Cognitive Services powinny używać tożsamości zarządzanej | Przypisanie tożsamości zarządzanej do konta usługi Cognitive Service pomaga zapewnić bezpieczne uwierzytelnianie. Ta tożsamość jest używana przez to konto usługi Cognitive Service do komunikowania się z innymi usługami platformy Azure, takimi jak Azure Key Vault, w bezpieczny sposób bez konieczności zarządzania poświadczeniami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny używać magazynu należącego do klienta | Użyj magazynu należącego do klienta, aby kontrolować dane przechowywane w magazynowanych usługach Cognitive Services. Aby dowiedzieć się więcej na temat magazynu należącego do klienta, odwiedź stronę https://aka.ms/cogsvc-cmk. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Konfigurowanie kont usług Cognitive Services w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz lokalne metody uwierzytelniania, aby konta usług Cognitive Services wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/cs/auth. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie kont usług Cognitive Services w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usług Cognitive Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2129800. | Wyłączone, Modyfikuj | 3.0.0 |
| Konfigurowanie kont usług Cognitive Services do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznawania kont usług Cognitive Services. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie kont usług Cognitive Services z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Komunikacja
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zasób usługi komunikacji powinien używać tożsamości zarządzanej | Przypisanie tożsamości zarządzanej do zasobu usługi komunikacyjnej pomaga zapewnić bezpieczne uwierzytelnianie. Ta tożsamość jest używana przez ten zasób usługi komunikacji do komunikowania się z innymi usługami platformy Azure, takimi jak Azure Storage, w bezpieczny sposób bez konieczności zarządzania poświadczeniami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasób usługi komunikacji powinien używać dozwolonej lokalizacji danych na liście | Utwórz zasób usługi komunikacji tylko z dozwolonej lokalizacji danych. Ta lokalizacja danych określa, gdzie dane zasobu usługi komunikacji będą przechowywane w spoczynku, zapewniając preferowane dozwolone lokalizacje danych na liście, ponieważ nie można ich zmienić po utworzeniu zasobu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Compute
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dozwolone jednostki SKU rozmiaru maszyny wirtualnej | Te zasady umożliwiają określenie zestawu jednostek SKU rozmiaru maszyny wirtualnej, które organizacja może wdrożyć. | Zablokuj | 1.0.1 |
| Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
| Konfigurowanie odzyskiwania po awarii na maszynach wirtualnych przez włączenie replikacji za pośrednictwem usługi Azure Site Recovery | Maszyny wirtualne bez konfiguracji odzyskiwania po awarii są narażone na awarie i inne zakłócenia. Jeśli maszyna wirtualna nie ma jeszcze skonfigurowanego odzyskiwania po awarii, spowoduje to zainicjowanie tego samego przez włączenie replikacji przy użyciu wstępnie ustawionych konfiguracji w celu ułatwienia ciągłości działania. Opcjonalnie można dołączać/wykluczać maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Konfigurowanie zasobów dostępu do dysku w celu korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania dysku zarządzanego. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów dostępu do dysku przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby dostępu do dysku, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie dysków zarządzanych w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu dysku zarządzanego, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Modyfikowanie, wyłączone | 2.0.0 |
| Wdrażanie domyślnego rozszerzenia Microsoft IaaSAntimalware dla systemu Windows Server | Te zasady wdraża rozszerzenie IaaSAntimalware firmy Microsoft z konfiguracją domyślną, gdy maszyna wirtualna nie jest skonfigurowana z rozszerzeniem ochrony przed złośliwym kodem. | deployIfNotExists | 1.1.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na https://aka.ms/disks-doubleEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski zarządzane powinny wyłączać dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że dysk zarządzany nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie dysków zarządzanych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Inspekcja, wyłączone | 2.0.0 |
| Dyski zarządzane powinny używać określonego zestawu zestawów szyfrowania dysków na potrzeby szyfrowania kluczy zarządzanych przez klienta | Wymaganie użycia określonego zestawu zestawów szyfrowania dysków z dyskami zarządzanymi zapewnia kontrolę nad kluczami używanymi do szyfrowania magazynowanych. Możesz wybrać dozwolone zestawy zaszyfrowane, a wszystkie inne zostaną odrzucone po dołączeniu do dysku. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows, które nie zostały skonfigurowane przy użyciu automatycznej aktualizacji sygnatur ochrony przed złośliwym kodem firmy Microsoft. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | Te zasady przeprowadzają inspekcję dowolnej maszyny wirtualnej z systemem Windows server bez wdrożonego rozszerzenia IaaSAntimalware firmy Microsoft. | AuditIfNotExists, Disabled | 1.1.0 |
| Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Ochrona danych przy użyciu wymagań dotyczących uwierzytelniania podczas eksportowania lub przekazywania do dysku lub migawki. | Gdy jest używany adres URL eksportowania/przekazywania, system sprawdza, czy użytkownik ma tożsamość w usłudze Azure Active Directory i ma niezbędne uprawnienia do eksportowania/przekazywania danych. Zapoznaj się z aka.ms/DisksAzureADAuth. | Modyfikowanie, wyłączone | 1.0.0 |
| Wymagaj automatycznego stosowania poprawek obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych | Te zasady wymuszają włączenie automatycznego stosowania poprawek obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych w celu zapewnienia bezpieczeństwa maszyn wirtualnych przez bezpieczne stosowanie najnowszych poprawek zabezpieczeń co miesiąc. | odmowa | 1.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Aplikacje kontenera
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uwierzytelnianie powinno być włączone w usłudze Container Apps | Uwierzytelnianie za pomocą usługi Container Apps to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji kontenera lub uwierzytelnić te, które mają tokeny, zanim dotrą do aplikacji kontenera | AuditIfNotExists, Disabled | 1.0.1 |
| Środowiska aplikacji kontenera powinny używać iniekcji sieci | Środowiska usługi Container Apps powinny używać iniekcji sieci wirtualnej do: 1.Izoluj aplikacje kontenerów z publicznego Internetu 2.Włącz integrację sieci z zasobami lokalnie lub w innych sieciach wirtualnych platformy Azure 3.Uzyskaj bardziej szczegółową kontrolę nad ruchem sieciowym przepływającym do i ze środowiska. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
| Aplikacja kontenera powinna zostać skonfigurowana przy użyciu instalacji woluminu | Wymuszenie użycia instalacji woluminów dla usługi Container Apps w celu zapewnienia dostępności trwałej pojemności magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Środowisko usługi Container Apps powinno wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej, aby zwiększyć bezpieczeństwo, uwidaczniając środowisko usługi Container Apps za pośrednictwem wewnętrznego modułu równoważenia obciążenia. Eliminuje to potrzebę publicznego adresu IP i uniemożliwia dostęp do Internetu do wszystkich aplikacji kontenera w środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Usługa Container Apps powinna wyłączyć dostęp do sieci zewnętrznej | Wyłącz dostęp do sieci zewnętrznej do usługi Container Apps, wymuszając ruch przychodzący tylko do wewnątrz. Dzięki temu komunikacja przychodząca dla usługi Container Apps jest ograniczona do osób wywołujących w środowisku usługi Container Apps. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Usługa Container Apps powinna być dostępna tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. Wyłączenie opcji "allowInsecure" spowoduje automatyczne przekierowywanie żądań z protokołu HTTP do połączeń HTTPS dla aplikacji kontenera. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Tożsamość zarządzana powinna być włączona dla usługi Container Apps | Wymuszanie tożsamości zarządzanej zapewnia, że usługa Container Apps może bezpiecznie uwierzytelniać się w dowolnym zasobie obsługującym uwierzytelnianie usługi Azure AD | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wystąpienie kontenera
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Grupa kontenerów usługi Azure Container Instance powinna zostać wdrożona w sieci wirtualnej | Bezpieczna komunikacja między kontenerami za pomocą sieci wirtualnych platformy Azure. Po określeniu sieci wirtualnej zasoby w sieci wirtualnej mogą bezpiecznie i prywatnie komunikować się ze sobą. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Grupa kontenerów usługi Azure Container Instance powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie kontenerów dzięki większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla grup kontenerów w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla wystąpienia kontenera w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy dowolne wystąpienie kontenera, które nie ma tych ustawień diagnostycznych, zostanie utworzone lub zaktualizowane. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Container Instances
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie diagnostyki dla grupy kontenerów w obszarze roboczym usługi Log Analytics | Dołącza określony identyfikator obszaru roboczego usługi Log Analytics i wartość workspaceKey, gdy każda grupa kontenerów, która nie ma tych pól, zostanie utworzona lub zaktualizowana. Nie modyfikuje pól grup kontenerów utworzonych przed zastosowaniem tych zasad, dopóki te grupy zasobów nie zostaną zmienione. | Dołączanie, wyłączone | 1.0.0 |
Container Registry
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Skonfiguruj rejestry kontenerów, aby wyłączyć uwierzytelnianie anonimowe. | Wyłącz anonimowe ściąganie dla rejestru, aby dane nie były dostępne dla nieuwierzytelnionego użytkownika. Wyłączenie lokalnych metod uwierzytelniania, takich jak użytkownik administracyjny, tokeny dostępu w zakresie repozytorium i anonimowe ściąganie zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Modyfikowanie, wyłączone | 1.0.0 |
| Skonfiguruj rejestry kontenerów, aby wyłączyć uwierzytelnianie tokenu odbiorców usługi ARM. | Wyłącz tokeny odbiorców arm usługi Azure Active Directory na potrzeby uwierzytelniania w rejestrze. Do uwierzytelniania będą używane tylko tokeny odbiorców usługi Azure Container Registry (ACR). Dzięki temu do uwierzytelniania mogą być używane tylko tokeny przeznaczone do użycia w rejestrze. Wyłączenie tokenów odbiorców usługi ARM nie ma wpływu na uwierzytelnianie użytkowników administracyjnych ani tokenów dostępu w zakresie. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Modyfikowanie, wyłączone | 1.0.0 |
| Skonfiguruj rejestry kontenerów, aby wyłączyć konto administratora lokalnego. | Wyłącz konto administratora dla rejestru, aby nie było dostępne dla administratora lokalnego. Wyłączenie lokalnych metod uwierzytelniania, takich jak użytkownik administracyjny, tokeny dostępu w zakresie repozytorium i anonimowe ściąganie zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Modyfikowanie, wyłączone | 1.0.1 |
| Konfigurowanie rejestrów kontenerów w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi Container Registry, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie https://aka.ms/acr/portal/public-network i https://aka.ms/acr/private-link. | Modyfikowanie, wyłączone | 1.0.0 |
| Skonfiguruj rejestry kontenerów, aby wyłączyć token dostępu w zakresie repozytorium. | Wyłącz tokeny dostępu w zakresie repozytorium dla rejestru, aby repozytoria były niedostępne przez tokeny. Wyłączenie lokalnych metod uwierzytelniania, takich jak użytkownik administracyjny, tokeny dostępu w zakresie repozytorium i anonimowe ściąganie zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie rejestrów kontenerów do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania rejestru kontenerów. Dowiedz się więcej na stronie: https://aka.ms/privatednszone i https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie rejestrów kontenerów przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby rejestru kontenerów w warstwie Premium, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints i https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/acr/CMK. | Inspekcja, Odmowa, Wyłączone | 1.1.2 |
| Rejestry kontenerów powinny mieć wyłączone uwierzytelnianie anonimowe. | Wyłącz anonimowe ściąganie dla rejestru, aby dane nie były dostępne dla nieuwierzytelnionego użytkownika. Wyłączenie lokalnych metod uwierzytelniania, takich jak użytkownik administracyjny, tokeny dostępu w zakresie repozytorium i anonimowe ściąganie zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rejestry kontenerów powinny mieć wyłączone uwierzytelnianie tokenu odbiorców usługi ARM. | Wyłącz tokeny odbiorców arm usługi Azure Active Directory na potrzeby uwierzytelniania w rejestrze. Do uwierzytelniania będą używane tylko tokeny odbiorców usługi Azure Container Registry (ACR). Dzięki temu do uwierzytelniania mogą być używane tylko tokeny przeznaczone do użycia w rejestrze. Wyłączenie tokenów odbiorców usługi ARM nie ma wpływu na uwierzytelnianie użytkowników administracyjnych ani tokenów dostępu w zakresie. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rejestry kontenerów powinny mieć wyłączone eksporty | Wyłączenie eksportów zwiększa bezpieczeństwo, zapewniając dostęp do danych w rejestrze wyłącznie za pośrednictwem płaszczyzny danych (ściągania platformy Docker). Nie można przenieść danych z rejestru za pośrednictwem polecenia "import acr" lub "acr transfer". Aby wyłączyć eksporty, należy wyłączyć dostęp do sieci publicznej. Dowiedz się więcej na stronie: https://aka.ms/acr/export-policy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rejestry kontenerów powinny mieć wyłączone konto administratora lokalnego. | Wyłącz konto administratora dla rejestru, aby nie było dostępne dla administratora lokalnego. Wyłączenie lokalnych metod uwierzytelniania, takich jak użytkownik administracyjny, tokeny dostępu w zakresie repozytorium i anonimowe ściąganie zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Rejestry kontenerów powinny mieć wyłączony token dostępu w zakresie repozytorium. | Wyłącz tokeny dostępu w zakresie repozytorium dla rejestru, aby repozytoria były niedostępne przez tokeny. Wyłączenie lokalnych metod uwierzytelniania, takich jak użytkownik administracyjny, tokeny dostępu w zakresie repozytorium i anonimowe ściąganie zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/acr/authentication. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rejestry kontenerów powinny mieć jednostki SKU obsługujące łącza prywatne | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do rejestrów kontenerów zamiast całej usługi zmniejsza ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny uniemożliwiać tworzenie reguł pamięci podręcznej | Wyłącz tworzenie reguły pamięci podręcznej dla usługi Azure Container Registry, aby uniemożliwić ściąganie pamięci podręcznej. Dowiedz się więcej na stronie: https://aka.ms/acr/cache. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Dostęp do sieci publicznej powinien być wyłączony dla rejestrów kontenerów | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów nie są uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów rejestru kontenerów. Dowiedz się więcej na stronie: https://aka.ms/acr/portal/public-network i https://aka.ms/acr/private-link. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Cosmos DB
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konta usługi Azure Cosmos DB nie powinny przekraczać maksymalnej liczby dni dozwolonych od czasu ostatniego ponownego odnowienia klucza konta. | Wygeneruj ponownie klucze w określonym czasie, aby zapewnić większą ochronę danych. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/cosmosdb-cmk. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Dozwolone lokalizacje usługi Azure Cosmos DB | Te zasady umożliwiają ograniczenie lokalizacji, które organizacja może określić podczas wdrażania zasobów usługi Azure Cosmos DB. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. | [parameters('policyEffect')] | 1.1.0 |
| Dostęp do zapisu metadanych opartych na kluczach usługi Azure Cosmos DB powinien być wyłączony | Te zasady umożliwiają zapewnienie, że wszystkie konta usługi Azure Cosmos DB wyłączają dostęp do zapisu metadanych opartych na kluczach. | append | 1.0.0 |
| Usługa Azure Cosmos DB powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że konto usługi CosmosDB nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie konta usługi CosmosDB. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przepływność usługi Azure Cosmos DB powinna być ograniczona | Te zasady umożliwiają ograniczenie maksymalnej przepływności, którą organizacja może określić podczas tworzenia baz danych i kontenerów usługi Azure Cosmos DB za pośrednictwem dostawcy zasobów. Blokuje tworzenie zasobów autoskalowania. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Konfigurowanie kont bazy danych usługi Cosmos DB w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby konta bazy danych usługi Cosmos DB wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie kont usługi CosmosDB w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi CosmosDB, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modyfikowanie, wyłączone | 1.0.1 |
| Konfigurowanie kont usługi CosmosDB do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania konta usługi CosmosDB. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie kont usługi CosmosDB z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na konto usługi CosmosDB, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Konta bazy danych usługi Cosmos DB powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że konta bazy danych usługi Cosmos DB wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Wdrażanie zaawansowanej ochrony przed zagrożeniami dla kont usługi Cosmos DB | Te zasady umożliwiają zaawansowaną ochronę przed zagrożeniami na kontach usługi Cosmos DB. | DeployIfNotExists, Disabled | 1.0.0 |
Dostawca niestandardowy
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie skojarzeń dla dostawcy niestandardowego | Wdraża zasób skojarzenia, który kojarzy wybrane typy zasobów z określonym dostawcą niestandardowym. To wdrożenie zasad nie obsługuje zagnieżdżonych typów zasobów. | deployIfNotExists | 1.0.0 |
Data Box
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu | Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zadania usługi Azure Data Box powinny używać klucza zarządzanego przez klienta do szyfrowania hasła odblokowywania urządzenia | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie hasła odblokowywania urządzenia dla urządzenia Azure Data Box. Klucze zarządzane przez klienta ułatwiają również zarządzanie dostępem do hasła odblokowywania urządzenia przez usługę Data Box, aby przygotować urządzenie i skopiować dane w zautomatyzowany sposób. Dane na samym urządzeniu są już szyfrowane w spoczynku przy użyciu szyfrowania Advanced Encryption Standard 256-bitowego, a hasło odblokowywania urządzenia jest domyślnie szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Data Factory
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: potoki usługi Azure Data Factory powinny komunikować się tylko z dozwolonymi domenami | Aby zapobiec eksfiltracji danych i tokenów, ustaw domeny, z którymi usługa Azure Data Factory powinna mieć możliwość komunikowania się. Uwaga: W publicznej wersji zapoznawczej zgodność tych zasad nie jest zgłaszana, a zasady, które mają być stosowane do usługi Data Factory, włącz funkcje reguł ruchu wychodzącego w programie ADF Studio. Aby uzyskać więcej informacji, zobacz https://aka.ms/data-exfiltration-policy. | Odmów, Wyłączone | 1.0.0-preview |
| Fabryki danych platformy Azure powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Data Factory. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/adf-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Środowisko Azure Data Factory Integration Runtime powinno mieć limit liczby rdzeni | Aby zarządzać zasobami i kosztami, ogranicz liczbę rdzeni środowiska Integration Runtime. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Typ zasobu połączonej usługi Azure Data Factory powinien znajdować się na liście dozwolonych | Zdefiniuj listę dozwolonych połączonych typów usług usługi Azure Data Factory. Ograniczanie dozwolonych typów zasobów umożliwia kontrolę nad granicą przenoszenia danych. Na przykład ogranicz zakres, aby zezwolić tylko na przechowywanie obiektów blob przy użyciu usług Data Lake Storage Gen1 i Gen2 na potrzeby analizy lub zakresu, aby zezwolić tylko na dostęp do usług SQL i Kusto dla zapytań w czasie rzeczywistym. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Połączone usługi Azure Data Factory powinny używać usługi Key Vault do przechowywania wpisów tajnych | Aby zapewnić bezpieczne zarządzanie wpisami tajnymi (takimi jak parametry połączenia), należy wymagać od użytkowników podania wpisów tajnych przy użyciu usługi Azure Key Vault zamiast określania ich wbudowanych w połączonych usługach. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Połączone usługi Azure Data Factory powinny używać uwierzytelniania tożsamości zarządzanej przypisanej przez system, jeśli jest obsługiwana | Używanie tożsamości zarządzanej przypisanej przez system podczas komunikacji z magazynami danych za pośrednictwem połączonych usług pozwala uniknąć używania mniej zabezpieczonych poświadczeń, takich jak hasła lub parametry połączenia. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Usługa Azure Data Factory powinna używać repozytorium Git do kontroli źródła | Skonfiguruj tylko twoją fabrykę danych deweloperskich przy użyciu integracji z usługą Git. Zmiany w środowisku testowym i produkcyjnym powinny być wdrażane za pośrednictwem ciągłej integracji/ciągłego wdrażania i nie powinny mieć integracji z usługą Git. NIE stosuj tych zasad w fabrykach danych QA/Test/Production. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie fabryk danych w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi Data Factory, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych łączących się z usługą Azure Data Factory | Prywatna strefa DNS rekordy zezwalają na połączenia prywatne z prywatnymi punktami końcowymi. Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z usługą Azure Data Factory bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i stref DNS w usłudze Azure Data Factory, zobacz https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnych punktów końcowych dla fabryk danych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do usługi Azure Data Factory, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| Dostęp do sieci publicznej w usłudze Azure Data Factory powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure Data Factory tylko z prywatnego punktu końcowego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Środowiska Integration Runtime usług SQL Server Integration Services w usłudze Azure Data Factory powinny być przyłączone do sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia i izolację dla środowisk Integration Runtime usług SQL Server Integration Services w usłudze Azure Data Factory, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. | Inspekcja, Odmowa, Wyłączone | 2.3.0 |
Data Lake
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymaganie szyfrowania na kontach usługi Data Lake Store | Te zasady zapewniają włączenie szyfrowania na wszystkich kontach usługi Data Lake Store | odmowa | 1.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Wirtualizacja pulpitu
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Bufory hostów usługi Azure Virtual Desktop powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo i zapewnia bezpieczeństwo danych, zapewniając, że dostęp do usługi Azure Virtual Desktop nie jest uwidoczniony w publicznym Internecie. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bufory hostów usługi Azure Virtual Desktop powinny wyłączać dostęp do sieci publicznej tylko na hostach sesji | Wyłączenie dostępu do sieci publicznej dla hostów sesji puli hostów usługi Azure Virtual Desktop, ale umożliwienie użytkownikom końcowym dostępu publicznego zwiększa bezpieczeństwo przez ograniczenie narażenia na publiczny Internet. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Virtual Desktop powinna używać łącza prywatnego | Korzystanie z usługi Azure Private Link z zasobami usługi Azure Virtual Desktop może zwiększyć bezpieczeństwo i zapewnić bezpieczeństwo danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/avdprivatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Virtual Desktop powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej dla zasobu obszaru roboczego usługi Azure Virtual Desktop uniemożliwia dostęp do kanału informacyjnego za pośrednictwem publicznego Internetu. Zezwolenie tylko na dostęp do sieci prywatnej zwiększa bezpieczeństwo i zapewnia bezpieczeństwo danych. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie zasobów puli hostów usługi Azure Virtual Desktop do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobów usługi Azure Virtual Desktop. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie puli hostów usługi Azure Virtual Desktop w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla hostów sesji i użytkowników końcowych w zasobie puli hostów usługi Azure Virtual Desktop, aby nie był dostępny za pośrednictwem publicznego Internetu. Zwiększa to bezpieczeństwo i zapewnia bezpieczeństwo danych. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie puli hostów usługi Azure Virtual Desktop w celu wyłączenia dostępu do sieci publicznej tylko dla hostów sesji | Wyłącz dostęp do sieci publicznej dla hostów sesji puli hostów usługi Azure Virtual Desktop, ale zezwalaj na dostęp publiczny dla użytkowników końcowych. Dzięki temu użytkownicy mogą nadal uzyskiwać dostęp do usługi AVD przy jednoczesnym zapewnieniu, że host sesji jest dostępny tylko za pośrednictwem tras prywatnych. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie puli hostów usługi Azure Virtual Desktop z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby usługi Azure Virtual Desktop, możesz zwiększyć bezpieczeństwo i zapewnić bezpieczeństwo danych. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów obszaru roboczego usługi Azure Virtual Desktop do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobów usługi Azure Virtual Desktop. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Azure Virtual Desktop w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu obszaru roboczego usługi Azure Virtual Desktop, aby kanał informacyjny był niedostępny za pośrednictwem publicznego Internetu. Zwiększa to bezpieczeństwo i zapewnia bezpieczeństwo danych. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Azure Virtual Desktop z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby usługi Azure Virtual Desktop, możesz zwiększyć bezpieczeństwo i zapewnić bezpieczeństwo danych. Dowiedz się więcej na stronie: https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Centrum deweloperów
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Pule usługi Microsoft Dev Box nie powinny używać sieci hostowanych przez firmę Microsoft. | Nie zezwala na korzystanie z sieci hostowanych przez firmę Microsoft podczas tworzenia zasobów puli. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
ElasticSan
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie ElasticSan powinno wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi ElasticSan, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| ElasticSan Volume Group powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku grupy woluminów. Domyślnie dane klientów są szyfrowane przy użyciu kluczy zarządzanych przez platformę, ale do spełnienia standardów zgodności z przepisami często wymagane są klucze zarządzania. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie, z pełną kontrolą i odpowiedzialnością, w tym rotacją i zarządzaniem. | Inspekcja, wyłączone | 1.0.0 |
| Grupa woluminów ElasticSan powinna używać prywatnych punktów końcowych | Prywatne punkty końcowe umożliwiają administratorowi łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na grupę woluminów, administrator może zmniejszyć ryzyko wycieku danych | Inspekcja, wyłączone | 1.0.0 |
Event Grid
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Domeny usługi Azure Event Grid powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Domeny usługi Azure Event Grid powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że domeny usługi Azure Event Grid wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aeg-disablelocalauth. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Broker MQTT przestrzeni nazw usługi Azure Event Grid powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzeń nazw usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/aeg-ns-privateendpoints. | Inspekcja, wyłączone | 1.0.0 |
| Broker tematu przestrzeni nazw usługi Azure Event Grid powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzeń nazw usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/aeg-ns-privateendpoints. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Event Grid powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/aeg-ns-privateendpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przestrzenie nazw partnerów usługi Azure Event Grid powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że przestrzenie nazw partnerów usługi Azure Event Grid wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aeg-disablelocalauth. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Tematy usługi Azure Event Grid powinny wyłączać dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Tematy usługi Azure Event Grid powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że tematy usługi Azure Event Grid wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aeg-disablelocalauth. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Konfigurowanie domen usługi Azure Event Grid w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby domeny usługi Azure Event Grid wymagały wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aeg-disablelocalauth. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie brokera MQTT przestrzeni nazw usługi Azure Event Grid z prywatnymi punktami końcowymi | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby, będą one chronione przed wyciekiem danych. Dowiedz się więcej na stronie: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw usługi Azure Event Grid z prywatnymi punktami końcowymi | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby, będą one chronione przed wyciekiem danych. Dowiedz się więcej na stronie: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw partnerów usługi Azure Event Grid w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby przestrzenie nazw partnerów usługi Azure Event Grid wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aeg-disablelocalauth. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie tematów usługi Azure Event Grid w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby tematy usługi Azure Event Grid wymagały wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aeg-disablelocalauth. | Modyfikowanie, wyłączone | 1.0.0 |
| Wdrażanie — konfigurowanie domen usługi Azure Event Grid do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Wdrażanie — konfigurowanie domen usługi Azure Event Grid z prywatnymi punktami końcowymi | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby, będą one chronione przed wyciekiem danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie tematów usługi Azure Event Grid w celu korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Wdrażanie — konfigurowanie tematów usługi Azure Event Grid z prywatnymi punktami końcowymi | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby, będą one chronione przed wyciekiem danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Modyfikowanie — konfigurowanie domen usługi Azure Event Grid w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi Azure Event Grid, aby nie był dostępny za pośrednictwem publicznego Internetu. Pomoże to chronić je przed ryzykiem wycieku danych. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Modyfikowanie, wyłączone | 1.0.0 |
| Modyfikowanie — konfigurowanie tematów usługi Azure Event Grid w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi Azure Event Grid, aby nie był dostępny za pośrednictwem publicznego Internetu. Pomoże to chronić je przed ryzykiem wycieku danych. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Modyfikowanie, wyłączone | 1.0.0 |
Centrum zdarzeń usługi Event Hubs
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie reguły autoryzacji z wyjątkiem RootManageSharedAccessKey powinny zostać usunięte z przestrzeni nazw centrum zdarzeń | Klienci usługi Event Hub nie powinni używać zasad dostępu na poziomie przestrzeni nazw, które zapewniają dostęp do wszystkich kolejek i tematów w przestrzeni nazw. Aby dopasować go do modelu zabezpieczeń najniższych uprawnień, należy utworzyć zasady dostępu na poziomie jednostki dla kolejek i tematów, aby zapewnić dostęp tylko do określonej jednostki | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Reguły autoryzacji w wystąpieniu centrum zdarzeń powinny być zdefiniowane | Inspekcja istnienia reguł autoryzacji w jednostkach centrum zdarzeń w celu udzielenia dostępu z najniższymi uprawnieniami | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw usługi Azure Event Hub powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że przestrzenie nazw usługi Azure Event Hub wymagają wyłącznie tożsamości identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/disablelocalauth-eh. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konfigurowanie przestrzeni nazw usługi Azure Event Hub w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby przestrzenie nazw usługi Azure Event Hub wymagały wyłącznie tożsamości identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/disablelocalauth-eh. | Modyfikowanie, wyłączone | 1.0.1 |
| Konfigurowanie przestrzeni nazw centrum zdarzeń do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznawania przestrzeni nazw centrum zdarzeń. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw centrum zdarzeń przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny wyłączyć dostęp do sieci publicznej | Usługa Azure Event Hub powinna mieć wyłączony dostęp do sieci publicznej. Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny mieć włączone podwójne szyfrowanie | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Event Hubs obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Event Hub do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Event Hub obsługuje szyfrowanie tylko przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w dedykowanych klastrach. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Przekaźnik płynów
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Fluid Relay powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku serwera Fluid Relay. Domyślnie dane klientów są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale do spełnienia standardów zgodności z przepisami często wymagane są klucze zarządzania usługami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie, z pełną kontrolą i odpowiedzialnością, w tym rotacją i zarządzaniem. Dowiedz się więcej na https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Inspekcja, wyłączone | 1.0.0 |
Ogólne
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dozwolone lokalizacje | Ta zasada umożliwia ograniczenie lokalizacji, które organizacja może określić podczas wdrażania zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. Nie obejmuje grup zasobów, elementu Microsoft.AzureActiveDirectory/b2cDirectories i zasobów używających regionu „globalny”. | odmowa | 1.0.0 |
| Dozwolone lokalizacje dla grup zasobów | Te zasady umożliwiają ograniczenie lokalizacji, w których organizacja może tworzyć grupy zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. | odmowa | 1.0.0 |
| Allowed resource types (Dozwolone typy zasobów) | Te zasady umożliwiają określenie typów zasobów, które organizacja może wdrożyć. Te zasady będą miały wpływ tylko na typy zasobów, które obsługują tagi i lokalizację. Aby ograniczyć wszystkie zasoby, zduplikuj te zasady i zmień tryb na "Wszystkie". | odmowa | 1.0.0 |
| Lokalizacja zasobu inspekcji jest zgodna z lokalizacją grupy zasobów | Inspekcja, czy lokalizacja zasobu jest zgodna z lokalizacją grupy zasobów | inspekcje | 2.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Konfigurowanie subskrypcji do konfigurowania funkcji w wersji zapoznawczej | Te zasady oceniają funkcje w wersji zapoznawczej istniejącej subskrypcji. Subskrypcje można skorygować w celu zarejestrowania się w nowej funkcji w wersji zapoznawczej. Nowe subskrypcje nie zostaną automatycznie zarejestrowane. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Nie zezwalaj na usuwanie typów zasobów | Te zasady umożliwiają określenie typów zasobów, które organizacja może chronić przed przypadkowym usunięciem, blokując wywołania usuwania przy użyciu efektu akcji odmowy. | DenyAction, Disabled | 1.0.1 |
| Nie zezwalaj na zasoby usługi M365 | Blokuj tworzenie zasobów platformy M365. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Nie zezwalaj na zasoby MCPP | Blokuj tworzenie zasobów MCPP. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wykluczanie zasobów kosztów użycia | Te zasady umożliwiają uwidocznienie zasobów kosztów użycia. Koszty użycia obejmują elementy, takie jak magazyn mierzony i zasoby platformy Azure, które są rozliczane na podstawie użycia. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Not allowed resource types (Niedozwolone typy zasobów) | Ogranicz typy zasobów, które można wdrożyć w danym środowisku. Ograniczenie typów zasobów może zmniejszyć złożoność i powierzchnię ataków środowiska, a jednocześnie pomóc w zarządzaniu kosztami. Wyniki zgodności są wyświetlane tylko dla niezgodnych zasobów. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Konfiguracja konta gościa
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Dodawanie tożsamości zarządzanej przypisanej przez użytkownika w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych | Te zasady dodają tożsamość zarządzaną przypisaną przez użytkownika do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Tożsamość zarządzana przypisana przez użytkownika jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Skonfiguruj system Windows Server, aby wyłączyć użytkowników lokalnych. | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych w systemie Windows Server. Gwarantuje to, że dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny poziom zabezpieczeń. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: na maszynach z systemem Windows Server 2012 Arc należy zainstalować rozszerzone Aktualizacje zabezpieczeń. | Maszyny z systemem Windows Server 2012 Arc powinny mieć zainstalowane wszystkie Aktualizacje rozszerzone zabezpieczenia wydane przez firmę Microsoft. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Linux z zainstalowanym rozwiązaniem OMI powinny mieć wersję 1.6.8-1 lub nowszą | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ze względu na poprawkę zabezpieczeń zawartą w wersji 1.6.8-1 pakietu OMI dla systemu Linux wszystkie maszyny powinny zostać zaktualizowane do najnowszej wersji. Uaktualnij aplikacje/pakiety korzystające z usługi OMI, aby rozwiązać ten problem. Aby uzyskać więcej informacji, zobacz https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: Nexus Compute Machines powinien spełniać punkt odniesienia zabezpieczeń | Korzysta z agenta konfiguracji gościa usługi Azure Policy do przeprowadzania inspekcji. Ta zasada zapewnia, że maszyny są zgodne z punktem odniesienia zabezpieczeń obliczeniowych Nexus, obejmujące różne zalecenia mające na celu wzmacnianie maszyn przed szeregiem luk w zabezpieczeniach i niebezpiecznych konfiguracjach (tylko system Linux). | AuditIfNotExists, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana pod kątem jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, na których nie zainstalowano określonych aplikacji | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że co najmniej jeden pakiet dostarczony przez parametr nie jest zainstalowany. | AuditIfNotExists, Disabled | 4.2.0 |
| Inspekcja maszyn z systemem Linux z kontami bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadzanie inspekcji maszyn z systemem Linux z zainstalowanymi określonymi aplikacjami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że zainstalowano co najmniej jeden pakiet dostarczony przez parametr . | AuditIfNotExists, Disabled | 4.2.0 |
| Przeprowadź inspekcję maszyn z systemem Windows bez określonych elementów członkowskich w grupie Administracja istratorów | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administracja istrators nie zawiera co najmniej jednego elementu członkowskiego wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Inspekcja łączności sieciowej maszyn z systemem Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli stan połączenia sieciowego z adresem IP i portEM TCP nie jest zgodny z parametrem zasad. | auditIfNotExists | 2.0.0 |
| Inspekcja maszyn z systemem Windows, na których konfiguracja DSC nie jest zgodna | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-DSCConfigurationStatus zwraca, że konfiguracja DSC dla maszyny jest niezgodna. | auditIfNotExists | 3.0.0 |
| Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli agent nie jest zainstalowany lub jeśli jest zainstalowany, ale obiekt COM AgentConfigManager.MgmtSvcCfg zwraca, że jest zarejestrowany w obszarze roboczym innym niż identyfikator określony w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych usług i "Uruchomiono" | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wynik polecenia programu Windows PowerShell Get-Service nie uwzględnia nazwy usługi z pasującym stanem określonym przez parametr zasad. | auditIfNotExists | 3.0.0 |
| Inspekcja maszyn z systemem Windows, na których nie włączono konsoli szeregowej systemu Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie ma zainstalowanego oprogramowania konsoli szeregowej lub jeśli numer portu EMS lub szybkość transmisji nie są skonfigurowane z tymi samymi wartościami co parametry zasad. | auditIfNotExists | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie są przyłączone do określonej domeny | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości Domain w klasie WMI win32_computersystem nie jest zgodna z wartością w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie są ustawione na określoną strefę czasową | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości StandardName w klasie WMI Win32_TimeZone nie jest zgodna z wybraną strefą czasową dla parametru zasad. | auditIfNotExists | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli certyfikaty w określonym magazynie mają datę wygaśnięcia spoza zakresu dla liczby dni podanych jako parametr. Zasady udostępniają również opcję sprawdzania tylko określonych certyfikatów lub wykluczania określonych certyfikatów oraz tego, czy raportować wygasłe certyfikaty. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli magazyn zaufanych certyfikatów głównych komputera (Cert:\LocalMachine\Root) nie zawiera co najmniej jednego certyfikatu wymienionego przez parametr zasad. | auditIfNotExists | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | AuditIfNotExists, Disabled | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają określonych zasad wykonywania programu Windows PowerShell | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-ExecutionPolicy zwraca wartość inną niż wybrana w parametrze zasad. | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych modułów programu Windows PowerShell | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli moduł nie jest dostępny w lokalizacji określonej przez zmienną środowiskową PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków | AuditIfNotExists, Disabled | 2.1.0 |
| Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych aplikacji | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji nie zostanie znaleziona w żadnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows z dodatkowymi kontami w grupie Administracja istratorów | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administracja istrators zawiera elementy członkowskie, które nie są wymienione w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie zostały uruchomione ponownie w ciągu określonej liczby dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli właściwość WMI LastBootUpTime w klasie Win32_Operatingsystem znajduje się poza zakresem dni podanym przez parametr zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadzanie inspekcji maszyn z systemem Windows z zainstalowanymi określonymi aplikacjami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji znajduje się w dowolnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administracja istrators zawiera co najmniej jeden element członkosty wymieniony w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadzanie inspekcji maszyn wirtualnych z systemem Windows z oczekującym ponownym uruchomieniem | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna oczekuje na ponowny rozruch z dowolnego z następujących powodów: obsługa oparta na składnikach, Windows Update, oczekiwanie na zmianę nazwy pliku, oczekiwanie na zmianę nazwy komputera, menedżer konfiguracji oczekuje na ponowny rozruch. Każde wykrywanie ma unikatową ścieżkę rejestru. | auditIfNotExists | 2.0.0 |
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Skonfiguruj serwer z systemem Linux, aby wyłączyć użytkowników lokalnych. | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych na serwerze z systemem Linux. Gwarantuje to, że dostęp do serwerów z systemem Linux może uzyskać tylko konto usługi AAD (Azure Active Directory) lub lista jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny poziom zabezpieczeń. | DeployIfNotExists, Disabled | 1.3.0—wersja zapoznawcza |
| Konfigurowanie protokołów bezpiecznej komunikacji (TLS 1.1 lub TLS 1.2) na maszynach z systemem Windows | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania określonej wersji protokołu bezpiecznego (TLS 1.1 lub TLS 1.2) na maszynie z systemem Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie strefy czasowej na maszynach z systemem Windows. | Te zasady umożliwiają utworzenie przypisania konfiguracji gościa w celu ustawienia określonej strefy czasowej na maszynach wirtualnych z systemem Windows. | deployIfNotExists | 2.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Maszyny z systemem Linux powinny mieć zainstalowanego agenta usługi Log Analytics w usłudze Azure Arc | Maszyny są niezgodne, jeśli agent usługi Log Analytics nie jest zainstalowany na serwerze z systemem Linux z obsługą usługi Azure Arc. | AuditIfNotExists, Disabled | 1.1.0 |
| Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Maszyny z systemem Linux powinny mieć dozwolone tylko konta lokalne | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. | AuditIfNotExists, Disabled | 2.2.0 |
| Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| Lokalne metody uwierzytelniania powinny być wyłączone na maszynach z systemem Linux | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Linux nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy serwery z systemem Linux mogą być dostępne tylko przez konto usługi AAD (Azure Active Directory) lub listę jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny stan zabezpieczeń. | AuditIfNotExists, Disabled | 1.2.0-preview |
| Metody uwierzytelniania lokalnego powinny być wyłączone na serwerach z systemem Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Windows nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny stan zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Należy włączyć prywatne punkty końcowe dla przypisań konfiguracji gościa | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z konfiguracją gościa dla maszyn wirtualnych. Maszyny wirtualne będą niezgodne, chyba że mają tag "EnablePrivateNetworkGC". Ten tag wymusza bezpieczną komunikację za pośrednictwem prywatnej łączności z konfiguracją gościa dla maszyn wirtualnych. Łączność prywatna ogranicza dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwia dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
| Maszyny z systemem Windows powinny skonfigurować usługę Windows Defender do aktualizowania sygnatur ochrony w ciągu jednego dnia | Aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem, należy regularnie aktualizować podpisy ochrony usługi Windows Defender, aby uwzględnić nowo wydane złośliwe oprogramowanie. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender | Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender, aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny z systemem Windows powinny mieć zainstalowanego agenta usługi Log Analytics w usłudze Azure Arc | Maszyny są niezgodne, jeśli agent usługi Log Analytics nie jest zainstalowany na serwerze z systemem Windows z obsługą usługi Azure Arc. | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — Panel sterowania | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "szablony Administracja istracyjne — Panel sterowania" na potrzeby personalizacji danych wejściowych i zapobiegania włączaniu ekranów blokady. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — MSS (starsza wersja)" | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "szablony Administracja istracyjne — MSS (starsza wersja)" na potrzeby automatycznego logowania, wygaszacza ekranu, zachowania sieci, bezpiecznej biblioteki DLL i dziennika zdarzeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — sieć | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Administracja istrative Templates - Network" dla logowania gościa, równoczesne połączenia, mostek sieciowy, ICS i rozpoznawanie nazw multiemisji. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — System | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Administracja istrative Templates - System" dla ustawień kontrolujących środowisko administracyjne i Pomoc zdalna. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konta" w celu ograniczenia używania konta lokalnego pustych haseł i stanu konta gościa. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — inspekcja | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — inspekcja" w celu wymuszania podkategorii zasad inspekcji i zamykania, jeśli nie można rejestrować inspekcji zabezpieczeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — urządzenia | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — urządzenia" do oddokowywania bez logowania, instalowania sterowników wydruku i formatowania/wysuwania nośnika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — logowanie interakcyjne | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — logowanie interakcyjne" do wyświetlania nazwiska użytkownika i wymagania ctrl-alt-del. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — klient sieci firmy Microsoft | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — klient sieci Firmy Microsoft" dla klienta/serwera sieciowego firmy Microsoft i protokołu SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — Microsoft Network Server | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Microsoft Network Server" do wyłączania serwera SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — dostęp sieciowy" w celu włączenia dostępu dla użytkowników anonimowych, kont lokalnych i dostępu zdalnego do rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zabezpieczenia sieci" w celu włączenia zachowania systemu lokalnego, PKU2U, programu LAN Manager, klienta LDAP i dostawcy SSP NTLM. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konsola odzyskiwania | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konsola odzyskiwania" umożliwiające kopiowanie dyskietek i dostęp do wszystkich dysków i folderów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zamykanie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zamknięcie", aby umożliwić zamknięcie bez logowania i wyczyszczenie pliku stronicowania pamięci wirtualnej. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — obiektów systemowych | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — obiekty systemowe" w przypadku braku poufności dla podsystemów innych niż Windows i uprawnień wewnętrznych obiektów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — ustawienia systemowe | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — ustawienia systemowe" dla reguł certyfikatów w plikach wykonywalnych dla SRP i opcjonalnych podsystemów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Kontrola konta użytkownika" dla administratorów, zachowanie monitu o podniesienie uprawnień oraz wirtualizacja błędów zapisu pliku i rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące Ustawienia zabezpieczeń — zasady konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zabezpieczenia Ustawienia — zasady konta" dla historii haseł, wieku, długości, złożoności i przechowywania haseł przy użyciu szyfrowania odwracalnego. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie do konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — logowanie konta" na potrzeby inspekcji weryfikacji poświadczeń i innych zdarzeń logowania do konta. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zarządzanie kontami | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zarządzanie kontami" na potrzeby inspekcji aplikacji, zabezpieczeń i zarządzania grupami użytkowników oraz innych zdarzeń zarządzania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — szczegółowe śledzenie" na potrzeby inspekcji DPAPI, tworzenia/kończenia procesu, zdarzeń RPC i działania PNP. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie i wylogowanie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — Logon-Logoff" na potrzeby inspekcji protokołu IPSec, zasad sieciowych, oświadczeń, blokady konta, członkostwa w grupach i zdarzeń logowania/wylogowania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — dostęp do obiektów | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — dostęp do obiektów" na potrzeby inspekcji plików, rejestru, SAM, magazynu, filtrowania, jądra i innych typów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zmiana zasad | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zmiana zasad" na potrzeby inspekcji zmian w zasadach inspekcji systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — użycie uprawnień" do inspekcji niewrażliwe i inne użycie uprawnień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — system | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — system" na potrzeby inspekcji sterownika IPsec, integralności systemu, rozszerzenia systemu, zmiany stanu i innych zdarzeń systemowych. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Przypisywanie praw użytkownika" do zezwalania na logowanie lokalne, RDP, dostęp z sieci i wiele innych działań użytkownika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące składników systemu Windows | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Składniki systemu Windows" na potrzeby uwierzytelniania podstawowego, niezaszyfrowanego ruchu, kont Microsoft, telemetrii, Cortany i innych zachowań systemu Windows. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące właściwości zapory systemu Windows | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Właściwości zapory systemu Windows" dla stanu zapory, połączeń, zarządzania regułami i powiadomień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny z systemem Windows powinny mieć dozwolone tylko konta lokalne | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ta definicja nie jest obsługiwana w systemie Windows Server 2012 lub 2012 R2. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny z systemem Windows powinny codziennie planować usługę Windows Defender do przeprowadzania zaplanowanego skanowania | Aby zapewnić szybkie wykrywanie złośliwego oprogramowania i zminimalizować jego wpływ na system, zaleca się zaplanowanie codziennego skanowania na maszynach z systemem Windows za pomocą usługi Windows Defender. Upewnij się, że usługa Windows Defender jest obsługiwana, wstępnie zainstalowana na urządzeniu, a wymagania wstępne dotyczące konfiguracji gościa zostały wdrożone. Niedopełnienie tych wymagań może prowadzić do niedokładnych wyników oceny. Dowiedz się więcej o konfiguracji gościa na stronie https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| Maszyny z systemem Windows powinny używać domyślnego serwera NTP | Skonfiguruj "time.windows.com" jako domyślny serwer NTP dla wszystkich maszyn z systemem Windows, aby upewnić się, że dzienniki we wszystkich systemach mają zegary systemowe, które są zsynchronizowane. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
HDInsight
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Klastry usługi Azure HDInsight powinny być wstrzykiwane do sieci wirtualnej | Wstrzykiwanie klastrów usługi Azure HDInsight w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieci i zabezpieczeń usługi HDInsight oraz zapewnia kontrolę nad konfiguracją zabezpieczeń sieci. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Klastry usługi Azure HDInsight powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych klastrów usługi Azure HDInsight. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/hdi.cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania na hoście do szyfrowania danych magazynowanych | Włączenie szyfrowania na hoście pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu szyfrowania na hoście dane przechowywane na hoście maszyny wirtualnej są szyfrowane w spoczynku i przepływy szyfrowane w usłudze Storage. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight | Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure HDInsight powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do klastrów usługi Azure HDInsight, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/hdi.pl. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów usługi Azure HDInsight do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania klastrów usługi Azure HDInsight. Dowiedz się więcej na stronie: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów usługi Azure HDInsight z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do klastrów usługi Azure HDInsight, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Boty usługi Azure Health powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta (CMK), aby zarządzać szyfrowaniem w spoczynku danych swoich botów kondycji. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucz CMK jest często wymagany do spełnienia standardów zgodności z przepisami. Klucz cmK umożliwia szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na stronie https://docs.microsoft.com/azure/health-bot/cmk | Inspekcja, wyłączone | 1.0.0 |
Obszar roboczy usługi Health Data Services
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Obszar roboczy usługi Azure Health Data Services powinien używać łącza prywatnego | Obszar roboczy usług danych kondycji powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/healthcareapisprivatelink. | Inspekcja, wyłączone | 1.0.0 |
Interfejsy API opieki zdrowotnej
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Mechanizm CORS nie powinien zezwalać każdej domenie na dostęp do usługi FHIR | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do usługi FHIR. Aby chronić usługę FHIR, usuń dostęp dla wszystkich domen i jawnie zdefiniuj domeny dozwolone do nawiązania połączenia. | inspekcja, inspekcja, wyłączona, wyłączona | 1.1.0 |
| Usługa DICOM powinna używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze DICOM usług Azure Health Data Services, gdy jest to wymaganie prawne lub zgodności. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. | Inspekcja, wyłączone | 1.0.0 |
| Usługa FHIR powinna używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze FHIR w usłudze Azure Health Data Services, gdy jest to wymaganie dotyczące zgodności lub przepisów. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. | Inspekcja, wyłączone | 1.0.0 |
Internet rzeczy
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Usługa Azure IoT Hub powinna używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Szyfrowanie danych magazynowanych w usłudze IoT Hub przy użyciu klucza zarządzanego przez klienta dodaje drugą warstwę szyfrowania na podstawie domyślnych kluczy zarządzanych przez usługę, umożliwia kontrolę klienta nad kluczami, niestandardowe zasady rotacji i możliwość zarządzania dostępem do danych za pomocą kontroli dostępu klucza. Klucze zarządzane przez klienta należy skonfigurować podczas tworzenia usługi IoT Hub. Aby uzyskać więcej informacji na temat konfigurowania kluczy zarządzanych przez klienta, zobacz https://aka.ms/iotcmk. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: dane usługi IoT Hub device provisioning powinny być szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK) | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi aprowizacji urządzeń usługi IoT Hub. Dane są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/dps/CMK. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Konta usługi Azure Device Update powinny używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Szyfrowanie danych magazynowanych w usłudze Azure Device Update przy użyciu klucza zarządzanego przez klienta dodaje drugą warstwę szyfrowania na podstawie domyślnych kluczy zarządzanych przez usługę, umożliwia kontrolę klienta nad kluczami, niestandardowe zasady rotacji i możliwość zarządzania dostępem do danych za pośrednictwem kontroli dostępu klucza. Dowiedz się więcej o:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Device Update dla kont usługi IoT Hub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konta usługi Azure Device Update dla kont usługi IoT Hub, zmniejsza się ryzyko wycieku danych. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure IoT Hub powinna mieć wyłączone lokalne metody uwierzytelniania dla interfejsów API usługi | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Azure IoT Hub wymaga wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania interfejsu API usługi. Dowiedz się więcej na stronie: https://aka.ms/iothubdisablelocalauth. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Device Update dla kont usługi IoT Hub w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do aktualizacji urządzenia dla usługi IoT Hub tylko z prywatnego punktu końcowego. Te zasady wyłączają dostęp do sieci publicznej w usłudze Device Update dla zasobów usługi IoT Hub. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Device Update dla kont usługi IoT Hub do korzystania z prywatnych stref DNS | Usługa Azure Prywatna strefa DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania nazwami domen i rozpoznawania ich w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS. Za pomocą prywatnych stref DNS można zastąpić rozpoznawanie nazw DNS przy użyciu własnych niestandardowych nazw domen dla prywatnego punktu końcowego. Te zasady wdrażają prywatną strefę DNS dla prywatnych punktów końcowych usługi IoT Hub dla aktualizacji urządzeń. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie aktualizacji urządzenia platformy Azure dla kont usługi IoT Hub przy użyciu prywatnego punktu końcowego | Prywatny punkt końcowy to prywatny adres IP przydzielony wewnątrz sieci wirtualnej należącej do klienta, za pośrednictwem której można uzyskać dostęp do zasobu platformy Azure. Te zasady wdrażają prywatny punkt końcowy dla usługi Device Update for IoT Hub, aby umożliwić usługom w sieci wirtualnej dotarcie do tego zasobu bez konieczności wysyłania ruchu do publicznego punktu końcowego usługi IoT Hub w usłudze Device Update. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie usługi Azure IoT Hub w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby usługa Azure IoT Hub wymagała wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/iothubdisablelocalauth. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie wystąpień aprowizacji urządzeń usługi IoT Hub do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania wystąpienia usługi aprowizacji urządzeń usługi IoT Hub. Dowiedz się więcej na stronie: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie wystąpień usługi IoT Hub device provisioning w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla wystąpienia aprowizacji urządzeń usługi IoT Hub, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/iotdpsvnet. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie wystąpień usługi IoT Hub device provisioning z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie usługi Azure IoT Hubs do korzystania z prywatnych stref DNS | Usługa Azure Prywatna strefa DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania nazwami domen i rozpoznawania ich w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS. Za pomocą prywatnych stref DNS można zastąpić rozpoznawanie nazw DNS przy użyciu własnych niestandardowych nazw domen dla prywatnego punktu końcowego. Te zasady wdrażają prywatną strefę DNS dla prywatnych punktów końcowych usługi IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Wdrażanie — konfigurowanie usługi Azure IoT Hubs przy użyciu prywatnych punktów końcowych | Prywatny punkt końcowy to prywatny adres IP przydzielony wewnątrz sieci wirtualnej należącej do klienta, za pośrednictwem której można uzyskać dostęp do zasobu platformy Azure. Te zasady wdrażają prywatny punkt końcowy centrum IoT, aby umożliwić usługom w sieci wirtualnej dotarcie do usługi IoT Hub bez konieczności wysyłania ruchu do publicznego punktu końcowego usługi IoT Hub. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie usługi IoT Central do korzystania z prywatnych stref DNS | Usługa Azure Prywatna strefa DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania nazwami domen i rozpoznawania ich w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS. Za pomocą prywatnych stref DNS można zastąpić rozpoznawanie nazw DNS przy użyciu własnych niestandardowych nazw domen dla prywatnego punktu końcowego. Te zasady wdrażają prywatną strefę DNS dla prywatnych punktów końcowych usługi IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie usługi IoT Central z prywatnymi punktami końcowymi | Prywatny punkt końcowy to prywatny adres IP przydzielony wewnątrz sieci wirtualnej należącej do klienta, za pośrednictwem której można uzyskać dostęp do zasobu platformy Azure. Te zasady wdrażają prywatny punkt końcowy dla usługi IoT Central, aby umożliwić usługom w sieci wirtualnej dotarcie do usługi IoT Central bez konieczności wysyłania ruchu do publicznego punktu końcowego usługi IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Usługa IoT Central powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na aplikację usługi IoT Central zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotcentral-network-security-using-pe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że wystąpienie usługi IoT Hub device provisioning nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie wystąpień aprowizacji urządzeń usługi IoT Hub. Dowiedz się więcej na stronie: https://aka.ms/iotdpsvnet. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Modyfikowanie — konfigurowanie usługi Azure IoT Hubs w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure IoT Hub tylko z prywatnego punktu końcowego. Te zasady wyłączają dostęp do sieci publicznej w zasobach usługi IoT Hub. | Modyfikowanie, wyłączone | 1.0.0 |
| Modyfikowanie — konfigurowanie usługi IoT Central w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi IoT Central tylko z prywatnego punktu końcowego. Te zasady wyłączają dostęp do sieci publicznej w zasobach usługi IoT Hub. | Modyfikowanie, wyłączone | 1.0.0 |
| Prywatny punkt końcowy powinien być włączony dla usługi IoT Hub | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą IoT Hub. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | Inspekcja, wyłączone | 1.0.0 |
| Dostęp do sieci publicznej dla usługi Azure Device Update dla kont usługi IoT Hub powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Device Update dla kont usługi IoT Hub może uzyskiwać dostęp tylko z prywatnego punktu końcowego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dostęp do sieci publicznej w usłudze Azure IoT Hub powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure IoT Hub tylko z prywatnego punktu końcowego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla usługi IoT Central | Aby zwiększyć bezpieczeństwo usługi IoT Central, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/iotcentral-restrict-public-access. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 3.1.0 |
Key Vault
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Klucze zarządzanego modułu HSM usługi Azure Key Vault powinny mieć datę wygaśnięcia | Aby użyć tych zasad w wersji zapoznawczej, należy najpierw postępować zgodnie z tymi instrukcjami pod adresem https://aka.ms/mhsmgovernance. Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Klucze zarządzanego modułu HSM usługi Azure Key Vault powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Aby użyć tych zasad w wersji zapoznawczej, należy najpierw postępować zgodnie z tymi instrukcjami pod adresem https://aka.ms/mhsmgovernance. Jeśli klucz jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji klucza może spowodować awarię. Klucze powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Inspekcja, Odmowa, Wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Klucze zarządzanego modułu HSM usługi Azure Key Vault korzystające z kryptografii krzywej wielokroptycznej powinny mieć określone nazwy krzywej | Aby użyć tych zasad w wersji zapoznawczej, należy najpierw postępować zgodnie z tymi instrukcjami pod adresem https://aka.ms/mhsmgovernance. Klucze wspierane przez kryptografię krzywej eliptycznej mogą mieć różne nazwy krzywej. Niektóre aplikacje są zgodne tylko z określonymi wielokropowymi kluczami krzywej. Wymuś typy wielokroptycznych kluczy krzywych, które mogą być tworzone w danym środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Klucze zarządzanego modułu HSM usługi Azure Key Vault przy użyciu kryptografii RSA powinny mieć określony minimalny rozmiar klucza | Aby użyć tych zasad w wersji zapoznawczej, należy najpierw postępować zgodnie z tymi instrukcjami pod adresem https://aka.ms/mhsmgovernance. Ustaw minimalny dozwolony rozmiar klucza do użycia z magazynami kluczy. Użycie kluczy RSA o małych rozmiarach kluczy nie jest bezpieczną praktyką i nie spełnia wielu wymagań dotyczących certyfikacji w branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Zarządzany moduł HSM usługi Azure Key Vault powinien wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zarządzanego modułu HSM usługi Azure Key Vault, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Zarządzany moduł HSM usługi Azure Key Vault powinien używać łącza prywatnego | Usługa Private Link umożliwia łączenie zarządzanego modułu HSM usługi Azure Key Vault z zasobami platformy Azure bez wysyłania ruchu przez publiczny Internet. Usługa Private Link zapewnia ochronę w głębi systemu ochrony przed eksfiltracją danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Certyfikaty powinny być wystawiane przez jeden z określonych niezintegrowanych urzędów certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając niestandardowe lub wewnętrzne urzędy certyfikacji, które mogą wystawiać certyfikaty w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zarządzanego modułu HSM usługi Azure Key Vault w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zarządzanego modułu HSM usługi Azure Key Vault, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modyfikowanie, wyłączone | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zarządzanego modułu HSM usługi Azure Key Vault z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zarządzany moduł HSM usługi Azure Key Vault, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Zarządzany moduł HSM usługi Azure Key Vault powinien mieć włączoną ochronę przed przeczyszczeniem | Złośliwe usunięcie zarządzanego modułu HSM usługi Azure Key Vault może prowadzić do trwałej utraty danych. Złośliwy tester w organizacji może potencjalnie usunąć i przeczyścić zarządzany moduł HSM usługi Azure Key Vault. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałego zarządzanego modułu HSM usługi Azure Key Vault. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić zarządzanego modułu HSM usługi Azure Key Vault w okresie przechowywania usuwania nietrwałego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Key Vault powinna wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla magazynu kluczy, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/akvprivatelink. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 3.2.1 |
| Usługa Azure Key Vault powinna używać modelu uprawnień RBAC | Włącz model uprawnień RBAC w usłudze Key Vault. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Certyfikaty powinny być wystawiane przez określony zintegrowany urząd certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając zintegrowane urzędy certyfikacji platformy Azure, które mogą wystawiać certyfikaty w magazynie kluczy, takie jak Digicert lub GlobalSign. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
| Certyfikaty powinny być wystawiane przez określony niezintegowany urząd certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając jeden niestandardowy lub wewnętrzny urząd certyfikacji, który może wystawiać certyfikaty w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.1 |
| Certyfikaty powinny mieć określone wyzwalacze akcji okresu istnienia | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając, czy akcja okresu istnienia certyfikatu jest wyzwalana w określonym procentze jego okresu istnienia, czy na określoną liczbę dni przed jego wygaśnięciem. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
| Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.2.1 |
| Certyfikaty nie powinny wygasać w ciągu określonej liczby dni | Zarządzaj certyfikatami, które wygasną w ciągu określonej liczby dni, aby zapewnić organizacji wystarczający czas na wymianę certyfikatu przed wygaśnięciem. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.1 |
| Certyfikaty powinny używać dozwolonych typów kluczy | Zarządzanie wymaganiami dotyczącymi zgodności organizacji przez ograniczenie typów kluczy dozwolonych dla certyfikatów. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
| Certyfikaty używające kryptografii krzywej eliptycznej powinny mieć dozwolone nazwy krzywych | Zarządzaj dozwolonymi nazwami krzywych eliptycznych dla certyfikatów ECC przechowywanych w magazynie kluczy. Więcej informacji można znaleźć na stronie https://aka.ms/akvpolicy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
| Certyfikaty korzystające z kryptografii RSA powinny mieć określony minimalny rozmiar klucza | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając minimalny rozmiar klucza dla certyfikatów RSA przechowywanych w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
| Konfigurowanie usługi Azure Key Vault do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania magazynu kluczy. Dowiedz się więcej na stronie: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Key Vault z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie magazynów kluczy w celu włączenia zapory | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Następnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Modyfikowanie, wyłączone | 1.1.1 |
| Wdrażanie — konfigurowanie ustawień diagnostycznych dla usługi Azure Key Vault w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne usługi Azure Key Vault w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy brakuje dowolnego magazynu kluczy, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 2.0.1 |
| Wdrażanie — konfigurowanie ustawień diagnostycznych w centrum zdarzeń, które ma być włączone w zarządzanym module HSM usługi Azure Key Vault | Wdraża ustawienia diagnostyczne zarządzanego modułu HSM usługi Azure Key Vault w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy w dowolnym zarządzanym module HSM usługi Azure Key Vault brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Key Vault w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Key Vault, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w dowolnym magazynie kluczy, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 3.0.1 |
| Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Klucze powinny być wspierane przez sprzętowy moduł zabezpieczeń (HSM) | Moduł HSM to sprzętowy moduł zabezpieczeń, który przechowuje klucze. Moduł HSM zapewnia fizyczną warstwę ochrony kluczy kryptograficznych. Klucz kryptograficzny nie może pozostawić fizycznego modułu HSM, który zapewnia wyższy poziom zabezpieczeń niż klucz oprogramowania. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klucze powinny być określonym typem kryptograficznym RSA lub EC | Niektóre aplikacje wymagają użycia kluczy wspieranych przez określony typ kryptograficzny. Wymuszanie określonego typu klucza kryptograficznego, RSA lub EC w środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klucze powinny mieć zasady rotacji zapewniające, że ich rotacja jest zaplanowana w ciągu określonej liczby dni po utworzeniu. | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalną liczbę dni po utworzeniu klucza do czasu jego rotacji. | Inspekcja, wyłączone | 1.0.0 |
| Klucze powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Jeśli klucz jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji klucza może spowodować awarię. Klucze powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klucze powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który klucz może być prawidłowy w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klucze nie powinny być aktywne dłużej niż określona liczba dni | Określ liczbę dni, w których klucz powinien być aktywny. Klucze używane przez dłuższy czas zwiększają prawdopodobieństwo, że osoba atakująca może naruszyć klucz. Dobrym rozwiązaniem w zakresie zabezpieczeń jest upewnienie się, że twoje klucze nie były aktywne dłużej niż dwa lata. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klucze używające kryptografii krzywej eliptycznej powinny mieć określone nazwy krzywej | Klucze wspierane przez kryptografię krzywej eliptycznej mogą mieć różne nazwy krzywej. Niektóre aplikacje są zgodne tylko z określonymi wielokropowymi kluczami krzywej. Wymuś typy wielokroptycznych kluczy krzywych, które mogą być tworzone w danym środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klucze korzystające z kryptografii RSA powinny mieć określony minimalny rozmiar klucza | Ustaw minimalny dozwolony rozmiar klucza do użycia z magazynami kluczy. Użycie kluczy RSA o małych rozmiarach kluczy nie jest bezpieczną praktyką i nie spełnia wielu wymagań dotyczących certyfikacji w branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Dzienniki zasobów w zarządzanym module HSM usługi Azure Key Vault powinny być włączone | Aby ponownie utworzyć ślady aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci, możesz chcieć przeprowadzić inspekcję, włączając dzienniki zasobów w zarządzanych modułach HSM. Postępuj zgodnie z instrukcjami w tym miejscu: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Wpisy tajne powinny mieć ustawiony typ zawartości | Tag typu zawartości pomaga określić, czy wpis tajny jest hasłem, parametry połączenia itp. Różne wpisy tajne mają różne wymagania dotyczące rotacji. Tag typu zawartości powinien być ustawiony dla wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Wpisy tajne powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Jeśli wpis tajny jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji wpisu tajnego może spowodować awarię. Wpisy tajne powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Wpisy tajne powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który wpis tajny może być prawidłowy w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Wpisy tajne nie powinny być aktywne dłużej niż określona liczba dni | Jeśli wpisy tajne zostały utworzone z datą aktywacji ustawioną w przyszłości, musisz upewnić się, że wpisy tajne nie były aktywne przez dłuższy niż określony czas trwania. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Kubernetes
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: [Integralność obrazu] Klastry Kubernetes powinny używać tylko obrazów podpisanych za pomocą notacji | Użyj obrazów podpisanych za pomocą notacji, aby upewnić się, że obrazy pochodzą z zaufanych źródeł i nie zostaną złośliwie zmodyfikowane. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-integrity | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Nie można edytować poszczególnych węzłów | Nie można edytować poszczególnych węzłów. Użytkownicy nie powinni edytować poszczególnych węzłów. Edytuj pule węzłów. Modyfikowanie poszczególnych węzłów może prowadzić do niespójnych ustawień, wyzwań operacyjnych i potencjalnych zagrożeń bezpieczeństwa. | Inspekcja, Odmowa, Wyłączone | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc w celu zainstalowania rozszerzenia Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | Wersja zapoznawcza 7.1.0 |
| [Wersja zapoznawcza]: Wdrażanie integralności obrazów w usłudze Azure Kubernetes Service | Wdróż zarówno integralność obrazu, jak i dodatki zasad w klastrach Usługi Azure Kubernetes. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5—wersja zapoznawcza |
| [Wersja zapoznawcza]: Obrazy kontenerów klastra Kubernetes muszą zawierać punkt zaczepienia preStop | Wymaga, aby obrazy kontenerów zawierały element preStop, aby bezpiecznie zakończyć procesy podczas zamykania zasobnika. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: obrazy kontenerów klastra Kubernetes nie powinny zawierać najnowszego tagu obrazu | Wymaga, aby obrazy kontenerów nie używały najnowszego tagu w rozwiązaniu Kubernetes. Najlepszym rozwiązaniem jest zapewnienie powtarzalności, zapobieganie niezamierzonym aktualizacjom oraz ułatwia debugowanie i wycofywanie przy użyciu jawnych i wersjonowanych obrazów kontenerów. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Kontenery klastra Kubernetes powinny ściągać obrazy tylko wtedy, gdy istnieją wpisy tajne ściągania obrazu | Ograniczanie ściągania obrazów kontenerów w celu wymuszenia obecności elementów ImagePullSecrets, zapewniając bezpieczny i autoryzowany dostęp do obrazów w klastrze Kubernetes | Inspekcja, Odmowa, Wyłączone | 1.1.0-preview |
| [Wersja zapoznawcza]: Usługi klastra Kubernetes powinny używać unikatowych selektorów | Upewnij się, że usługi w przestrzeni nazw mają unikatowe selektory. Unikatowy selektor usług zapewnia, że każda usługa w przestrzeni nazw jest unikatowo możliwa do zidentyfikowania na podstawie określonych kryteriów. Te zasady synchronizują zasoby przychodzące z OPA za pośrednictwem usługi Gatekeeper. Przed zastosowaniem sprawdź, czy pojemność pamięci zasobników usługi Gatekeeper nie zostanie przekroczona. Parametry mają zastosowanie do określonych przestrzeni nazw, ale synchronizuje wszystkie zasoby tego typu we wszystkich przestrzeniach nazw. Obecnie w wersji zapoznawczej usługi Kubernetes Service (AKS). | Inspekcja, Odmowa, Wyłączone | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Klaster Kubernetes powinien implementować dokładne budżety zakłóceń zasobników | Zapobiega wadliwym budżetom zakłóceń zasobników, zapewniając minimalną liczbę zasobników operacyjnych. Szczegółowe informacje można znaleźć w oficjalnej dokumentacji platformy Kubernetes. Opiera się na replikacji danych usługi Gatekeeper i synchronizuje wszystkie zasoby ruchu przychodzącego z zakresem OPA. Przed zastosowaniem tych zasad upewnij się, że zsynchronizowane zasoby ruchu przychodzącego nie będą obciążać pojemności pamięci. Chociaż parametry oceniają określone przestrzenie nazw, wszystkie zasoby tego rodzaju w przestrzeniach nazw zostaną zsynchronizowane. Uwaga: obecnie w wersji zapoznawczej usługi Kubernetes Service (AKS). | Inspekcja, Odmowa, Wyłączone | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Klastry Kubernetes powinny ograniczyć tworzenie danego typu zasobu | Biorąc pod uwagę typ zasobu Kubernetes, nie należy wdrażać w określonej przestrzeni nazw. | Inspekcja, Odmowa, Wyłączone | 2.2.0-preview |
| [Wersja zapoznawcza]: musi mieć zestaw reguł koligacji przeciw koligacji | Te zasady zapewniają, że zasobniki są zaplanowane na różnych węzłach w klastrze. Wymuszając reguły koligacji, dostępność jest utrzymywana nawet wtedy, gdy jeden z węzłów stanie się niedostępny. Zasobniki będą nadal działać w innych węzłach, zwiększając odporność. | Inspekcja, Odmowa, Wyłączone | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Brak etykiet specyficznych dla usługi AKS | Uniemożliwia klientom stosowanie określonych etykiet usługi AKS. Usługa AKS używa etykiet poprzedzonych prefiksem kubernetes.azure.com , aby oznaczyć składniki należące do usługi AKS. Klient nie powinien używać tych etykiet. |
Inspekcja, Odmowa, Wyłączone | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Zarezerwowane zabezpieczenia puli systemu | Ogranicza właściwości CriticalAddonsOnly tylko do puli systemowej. Usługa AKS używa właściwości CriticalAddonsOnly, aby uniemożliwić zasobnikom klientów z dala od puli systemu. Zapewnia to wyraźne rozdzielenie składników usługi AKS i zasobników klientów, a także uniemożliwia eksmitowanie zasobników klientów, jeśli nie tolerują defektu CriticalAddonsOnly. | Inspekcja, Odmowa, Wyłączone | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: ogranicza parametr CriticalAddonsOnly tylko do puli systemu. | Aby uniknąć eksmisji aplikacji użytkowników z pul użytkowników i zachować separację problemów między pulami użytkowników i pul systemowych, nie należy stosować defektu "CriticalAddonsOnly" do pul użytkowników. | Mutate, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Ustawia limity procesora CPU kontenerów klastra Kubernetes na wartości domyślne w przypadku braku. | Ustawianie limitów procesora CPU kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. | Mutate, Disabled | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Ustawia limity pamięci kontenerów klastra Kubernetes na wartości domyślne w przypadku braku. | Ustawianie limitów pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. | Mutate, Disabled | 1.1.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: ustawia wartość maxUnavailable zasobników na 1 dla zasobów zasobników PodDisruptionBudget | Ustawienie maksymalnej niedostępnej wartości zasobnika na 1 zapewnia dostępność aplikacji lub usługi podczas zakłóceń | Mutate, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Ustawia parametr readOnlyRootFileSystem w specyfikacji zasobnika w kontenerach inicjowania na wartość true, jeśli nie został ustawiony. | Ustawienie parametru readOnlyRootFileSystem na wartość true zwiększa bezpieczeństwo, uniemożliwiając kontenerom zapisywanie w głównym systemie plików. Działa to tylko w przypadku kontenerów systemu Linux. | Mutate, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Ustawia właściwość readOnlyRootFileSystem w specyfikacji zasobnika na wartość true, jeśli nie jest ustawiona. | Ustawienie parametru readOnlyRootFileSystem na wartość true zwiększa bezpieczeństwo, uniemożliwiając kontenerom zapisywanie w głównym systemie plików | Mutate, Disabled | 1.1.0-preview |
| Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy | Rozszerzenie usługi Azure Policy dla usługi Azure Arc zapewnia wymuszanie na dużą skalę i zabezpieczenia w klastrach Kubernetes z obsługą usługi Arc w sposób scentralizowany i spójny. Dowiedz się więcej na https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Open Service Mesh | Rozszerzenie Open Service Mesh zapewnia wszystkie standardowe funkcje siatki usług na potrzeby zabezpieczeń, zarządzania ruchem i obserwacji usług aplikacji. Więcej informacji znajdziesz tutaj: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Strimzi Kafka | Rozszerzenie Strimzi Kafka udostępnia operatorom instalowanie platformy Kafka na potrzeby tworzenia potoków danych w czasie rzeczywistym i aplikacji przesyłania strumieniowego z zabezpieczeniami i możliwościami obserwacji. Dowiedz się więcej tutaj: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Klastry Usługi Azure Kubernetes powinny włączyć interfejs magazynu kontenerów (CSI) | Interfejs magazynu kontenerów (CSI) jest standardem służącym do uwidaczniania dowolnych systemów magazynowania bloków i plików w konteneryzowanych obciążeniach w usłudze Azure Kubernetes Service. Aby dowiedzieć się więcej, https://aka.ms/aks-csi-driver | Inspekcja, wyłączone | 1.0.0 |
| Klastry usługi Azure Kubernetes powinny włączyć usługa zarządzania kluczami (KMS) | Użyj usługa zarządzania kluczami (KMS) do szyfrowania danych tajnych magazynowanych w magazynie itp. na potrzeby zabezpieczeń klastra Kubernetes. Dowiedz się więcej na stronie: https://aka.ms/aks/kmsetcdencryption. | Inspekcja, wyłączone | 1.0.0 |
| Klastry Usługi Azure Kubernetes powinny używać usługi Azure CNI | Usługa Azure CNI jest wymaganiem wstępnym dla niektórych funkcji usługi Azure Kubernetes Service, w tym zasad sieci platformy Azure, pul węzłów systemu Windows i dodatków węzłów wirtualnych. Dowiedz się więcej na stronie: https://aka.ms/aks-azure-cni | Inspekcja, wyłączone | 1.0.1 |
| Klastry usługi Azure Kubernetes Service powinny wyłączyć wywołanie polecenia | Wyłączenie wywołania polecenia może zwiększyć bezpieczeństwo, unikając obejścia ograniczonego dostępu do sieci lub kontroli dostępu opartej na rolach platformy Kubernetes | Inspekcja, wyłączone | 1.0.1 |
| Klastry usługi Azure Kubernetes Service powinny włączyć automatyczne uaktualnianie klastra | Automatyczne uaktualnianie klastra usługi AKS może zapewnić aktualność klastrów i nie przegap najnowszych funkcji ani poprawek z usługi AKS i nadrzędnej platformy Kubernetes. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Inspekcja, wyłączone | 1.0.0 |
| Klastry usługi Azure Kubernetes Service powinny włączyć narzędzie Image Cleaner | Narzędzie Image Cleaner wykonuje automatyczną identyfikację i usuwanie nieużywanych obrazów, co zmniejsza ryzyko nieaktualnych obrazów i skraca czas wymagany do ich oczyszczenia. Dowiedz się więcej na stronie: https://aka.ms/aks/image-cleaner. | Inspekcja, wyłączone | 1.0.0 |
| Klastry usługi Azure Kubernetes Service powinny włączyć integrację identyfikatora Entra firmy Microsoft | Integracja tożsamości entra firmy Microsoft zarządza dostępem do klastrów zarządzanych przez usługę AKS, konfigurując kontrolę dostępu opartą na rolach (Kubernetes RBAC) na podstawie tożsamości użytkownika lub członkostwa w grupie katalogów. Dowiedz się więcej na stronie: https://aka.ms/aks-managed-aad. | Inspekcja, wyłączone | 1.0.2 |
| Klastry usługi Azure Kubernetes Service powinny włączyć automatyczne uaktualnianie systemu operacyjnego node | Aktualizacje zabezpieczeń systemu operacyjnego aKS na poziomie węzła. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Inspekcja, wyłączone | 1.0.0 |
| Klastry usługi Azure Kubernetes Service powinny włączyć tożsamość obciążenia | Tożsamość obciążenia umożliwia przypisanie unikatowej tożsamości do każdego zasobnika Kubernetes i skojarzenie go z zasobami chronionymi w usłudze Azure AD, takimi jak usługa Azure Key Vault, umożliwiając bezpieczny dostęp do tych zasobów z poziomu zasobnika. Dowiedz się więcej na stronie: https://aka.ms/aks/wi. | Inspekcja, wyłączone | 1.0.0 |
| Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu elementu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers w usłudze https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Inspekcja, wyłączone | 2.0.1 |
| Klastry usługi Azure Kubernetes Service powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że klastry usługi Azure Kubernetes Service powinny wymagać wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aks-disable-local-accounts. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klastry usługi Azure Kubernetes Service powinny używać tożsamości zarządzanych | Użyj tożsamości zarządzanych, aby opakować jednostki usługi, uprościć zarządzanie klastrem i uniknąć złożoności wymaganej do zarządzania jednostkami usługi. Dowiedz się więcej na stronie: https://aka.ms/aks-update-managed-identities | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć klastry prywatne usługi Azure Kubernetes Service | Włącz funkcję klastra prywatnego dla klastra usługi Azure Kubernetes Service, aby zapewnić, że ruch sieciowy między serwerem interfejsu API a pulami węzłów pozostaje tylko w sieci prywatnej. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. | Inspekcja, wyłączone | 1.0.2 |
| Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę i większą elastyczność zarządzania kluczami. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc w celu zainstalowania rozszerzenia usługi Azure Policy | Wdróż rozszerzenie usługi Azure Policy dla usługi Azure Arc, aby zapewnić wymuszanie na dużą skalę i ochronę klastrów Kubernetes z obsługą usługi Arc w scentralizowany, spójny sposób. Dowiedz się więcej na https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie klastrów usługi Azure Kubernetes Service w celu włączenia profilu usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu usługi SecurityProfile.Defender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| Konfigurowanie instalacji rozszerzenia Flux w klastrze Kubernetes | Instalowanie rozszerzenia Flux w klastrze Kubernetes w celu włączenia wdrożenia funkcji "fluxconfigurations" w klastrze | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu źródła zasobnika i wpisów tajnych w usłudze KeyVault | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga klucza tajnego zasobnika bucket przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i certyfikatu urzędu certyfikacji HTTPS | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga certyfikatu urzędu certyfikacji HTTPS. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych HTTPS | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza HTTPS przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i lokalnych wpisów tajnych | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych SSH | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu publicznego repozytorium Git | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu określonego źródła zasobnika Flux v2 przy użyciu lokalnych wpisów tajnych | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych HTTPS | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisów tajnych użytkownika i klucza HTTPS przechowywanych w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps bez wpisów tajnych | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych SSH | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurowanie zintegrowanych klastrów usługi Azure Kubernetes Service z identyfikatorem entra firmy Microsoft z wymaganym dostępem do grupy Administracja | Upewnij się, że chcesz zwiększyć bezpieczeństwo klastra, centralnie zarządzając dostępem Administracja istratora do zintegrowanych klastrów usługi AKS o identyfikatorze Entra firmy Microsoft. | DeployIfNotExists, Disabled | 2.1.0 |
| Konfigurowanie automatycznego uaktualniania systemu operacyjnego Node w klastrze Usługi Azure Kubernetes | Automatyczne uaktualnianie systemu operacyjnego Node umożliwia kontrolowanie aktualizacji zabezpieczeń systemu operacyjnego na poziomie węzła klastrów usługi Azure Kubernetes Service (AKS). Aby uzyskać więcej informacji, odwiedź stronę https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Wdrażanie — konfigurowanie ustawień diagnostycznych dla usługi Azure Kubernetes Service w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Azure Kubernetes Service w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Wdrażanie dodatku usługi Azure Policy w klastrach usługi Azure Kubernetes Service | Użyj dodatku usługi Azure Policy, aby zarządzać klastrami usługi Azure Kubernetes Service (AKS) i zgłaszać ich stan zgodności. Aby uzyskać więcej informacji, zobacz https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Wdrażanie narzędzia Image Cleaner w usłudze Azure Kubernetes Service | Wdrażanie narzędzia Image Cleaner w klastrach usługi Azure Kubernetes. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Wdrażanie planowanej konserwacji w celu planowania i kontrolowania uaktualnień klastra usługi Azure Kubernetes Service (AKS) | Planowana konserwacja umożliwia zaplanowanie cotygodniowych okien konserwacji w celu przeprowadzenia aktualizacji i zminimalizowania wpływu obciążenia. Po zaplanowaniu uaktualnienia są wykonywane tylko podczas wybranego okna. Dowiedz się więcej na stronie: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Wyłączanie wywołania polecenia w klastrach usługi Azure Kubernetes Service | Wyłączenie wywołania polecenia może zwiększyć bezpieczeństwo, odrzucając dostęp invoke-command do klastra | DeployIfNotExists, Disabled | 1.2.0 |
| Upewnij się, że kontenery klastra mają skonfigurowane sondy gotowości lub aktualności | Te zasady wymuszają, że wszystkie zasobniki mają skonfigurowane sondy gotowości i/lub aktualności. Typy sond mogą być dowolnymi typami tcpSocket, httpGet i exec. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Kontenery klastra Kubernetes nie powinny używać zabronionych interfejsów sysctl | Kontenery nie powinny używać niedozwolonych interfejsów sysctl w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonego typu ProcMountType | Kontenery zasobników mogą używać tylko dozwolonych typów ProcMountTypes w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych zasad ściągania | Ograniczanie zasad ściągania kontenerów w celu wymuszania kontenerów używania tylko dozwolonych obrazów we wdrożeniach | Inspekcja, Odmowa, Wyłączone | 3.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów seccomp | Kontenery zasobników mogą używać tylko dozwolonych profilów seccomp w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Woluminy zasobnika klastra Kubernetes FlexVolume powinny używać tylko dozwolonych sterowników | Woluminy Pod FlexVolume powinny używać tylko dozwolonych sterowników w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.1 |
| Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny używać tylko dozwolonych opcji SELinux | Zasobniki i kontenery powinny używać tylko dozwolonych opcji SELinux w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko dozwolonych typów woluminów | Zasobniki mogą używać tylko dozwolonych typów woluminów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Zasobniki klastra Kubernetes powinny używać określonych etykiet | Użyj określonych etykiet, aby zidentyfikować zasobniki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Usługi klastra Kubernetes powinny używać tylko dozwolonych zewnętrznych adresów IP | Użyj dozwolonych zewnętrznych adresów IP, aby uniknąć potencjalnego ataku (CVE-2020-8554) w klastrze Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Klaster Kubernetes nie powinien używać zasobników nagich | Blokuj użycie nagich zasobników. Zasobniki naked nie zostaną ponownie ułożone w przypadku awarii węzła. Zasobniki powinny być zarządzane przez zadania deployment, Replicset, Daemonset lub Jobs | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Kontenery klastra Kubernetes systemu Windows nie powinny nadmiernie zatwierdzać procesora i pamięci | Żądania zasobów kontenera systemu Windows powinny być mniejsze lub równe limitowi zasobów lub nieokreślone, aby uniknąć nadmiernego przydziału. Jeśli pamięć systemu Windows jest nadmiernie aprowizowana, będzie przetwarzać strony na dysku — co może spowolnić wydajność — zamiast przerywać działanie kontenera z braku pamięci | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Kontenery systemu Windows klastra Kubernetes nie powinny działać jako kontener Administracja istrator | Zapobiegaj użyciu kontenera Administracja istrator jako użytkownik do wykonywania procesów kontenera dla zasobników lub kontenerów systemu Windows. To zalecenie ma na celu poprawę bezpieczeństwa węzłów systemu Windows. Aby uzyskać więcej informacji, zobacz https://kubernetes.io/docs/concepts/windows/intro/ . | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Kontenery systemu Windows klastra Kubernetes powinny być uruchamiane tylko z zatwierdzoną grupą użytkowników i domeny | Kontrolowanie użytkownika, którego zasobniki i kontenery systemu Windows mogą używać do uruchamiania w klastrze Kubernetes. To zalecenie jest częścią zasad zabezpieczeń zasobników w węzłach systemu Windows, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Klastry Kubernetes powinny mieć pewność, że rola administratora klastra jest używana tylko wtedy, gdy jest to wymagane | Rola "cluster-admin" zapewnia szerokie uprawnienia w środowisku i powinna być używana tylko tam, gdzie i w razie potrzeby. | Inspekcja, wyłączone | 1.0.0 |
| Klastry Kubernetes powinny zminimalizować użycie symboli wieloznacznych w roli roli i klastra | Użycie symboli wieloznacznych "*" może stanowić zagrożenie bezpieczeństwa, ponieważ przyznaje szerokie uprawnienia, które mogą nie być konieczne dla określonej roli. Jeśli rola ma zbyt wiele uprawnień, może być potencjalnie nadużywana przez osobę atakującą lub naruszonego użytkownika w celu uzyskania nieautoryzowanego dostępu do zasobów w klastrze. | Inspekcja, wyłączone | 1.0.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Klastry Kubernetes nie powinny zezwalać na uprawnienia edycji punktu końcowego elementu ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit nie powinno zezwalać na uprawnienia do edycji punktu końcowego z powodu CVE-2021-25740, uprawnienia punktów końcowych i punktów końcowychZwolenie na przekazywanie między przestrzeniami nazw, https://github.com/kubernetes/kubernetes/issues/103675. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, wyłączone | 3.1.0 |
| Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klastry Kubernetes nie powinny używać określonych funkcji zabezpieczeń | Zapobiegaj określonym funkcjom zabezpieczeń w klastrach Kubernetes, aby uniemożliwić niegranowane uprawnienia w zasobie zasobnika. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Klastry Kubernetes powinny używać sterownika Container Storage Interface (CSI) StorageClass | Interfejs Container Storage Interface (CSI) jest standardem umożliwiającym uwidacznianie dowolnych systemów magazynów blokowych i magazynów plików konteneryzowanym obciążeniom na platformie Kubernetes. Klasa StorageClass inicjowania obsługi administracyjnej w drzewie powinna być przestarzała od wersji 1.21 usługi AKS. Aby dowiedzieć się więcej, https://aka.ms/aks-csi-driver | Inspekcja, Odmowa, Wyłączone | 2.2.0 |
| Klastry Kubernetes powinny używać wewnętrznych modułów równoważenia obciążenia | Użyj wewnętrznych modułów równoważenia obciążenia, aby usługa Kubernetes była dostępna tylko dla aplikacji działających w tej samej sieci wirtualnej co klaster Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Zasoby kubernetes powinny mieć wymagane adnotacje | Upewnij się, że wymagane adnotacje są dołączone do danego rodzaju zasobu Kubernetes w celu lepszego zarządzania zasobami platformy Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 3.1.0 |
| Dzienniki zasobów w usłudze Azure Kubernetes Service powinny być włączone | Dzienniki zasobów usługi Azure Kubernetes Service mogą pomóc w ponownym utworzeniu śladów aktywności podczas badania zdarzeń zabezpieczeń. Włącz tę funkcję, aby upewnić się, że dzienniki będą istnieć w razie potrzeby | AuditIfNotExists, Disabled | 1.0.0 |
| Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Lab Services
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługi Lab Services powinny włączyć wszystkie opcje automatycznego zamykania | Te zasady ułatwiają zarządzanie kosztami, wymuszając wszystkie opcje automatycznego zamykania są włączone dla laboratorium. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Usługi Lab Services nie powinny zezwalać na maszyny wirtualne szablonów dla laboratoriów | Te zasady uniemożliwiają tworzenie i dostosowywanie maszyn wirtualnych szablonu dla laboratoriów zarządzanych za pośrednictwem usług Lab Services. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Usługi Lab Services powinny wymagać użytkownika niebędącego administratorem w laboratoriach | Te zasady wymagają utworzenia kont użytkowników niebędących administratorami na potrzeby laboratoriów zarządzanych za pośrednictwem laboratoriów. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Usługi Lab Services powinny ograniczać dozwolone rozmiary jednostek SKU maszyn wirtualnych | Te zasady umożliwiają ograniczenie niektórych jednostek SKU maszyn wirtualnych obliczeniowych dla laboratoriów zarządzanych za pośrednictwem usług Lab Services. Spowoduje to ograniczenie niektórych rozmiarów maszyn wirtualnych. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Lighthouse
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zezwalaj na zarządzanie identyfikatorami dzierżawy do dołączania za pośrednictwem usługi Azure Lighthouse | Ograniczanie delegowania usługi Azure Lighthouse do określonych dzierżaw zarządzających zwiększa bezpieczeństwo, ograniczając tych, którzy mogą zarządzać zasobami platformy Azure. | odmowa | 1.0.1 |
| Inspekcja delegowania zakresów do dzierżawy zarządzającej | Przeprowadź inspekcję delegowania zakresów do dzierżawy zarządzającej za pośrednictwem usługi Azure Lighthouse. | Inspekcja, wyłączone | 1.0.0 |
Logic Apps
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Środowisko usługi integracji usługi Logic Apps powinno być szyfrowane przy użyciu kluczy zarządzanych przez klienta | Wdróż w środowisku usługi integracji, aby zarządzać szyfrowaniem w spoczynku danych usługi Logic Apps przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Logic Apps powinna zostać wdrożona w środowisku usługi integracji | Wdrażanie usługi Logic Apps w środowisku usługi integracji w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieciowych i zabezpieczeń usługi Logic Apps oraz zapewnia większą kontrolę nad konfiguracją sieci. Dowiedz się więcej na stronie: https://aka.ms/integration-service-environment. Wdrażanie w środowisku usługi integracji umożliwia również szyfrowanie przy użyciu kluczy zarządzanych przez klienta, co zapewnia rozszerzoną ochronę danych, umożliwiając zarządzanie kluczami szyfrowania. Często jest to zgodne z wymaganiami dotyczącymi zgodności. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
Usługa Machine Learning
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrożenia rejestru modeli usługi Azure Machine Edukacja są ograniczone z wyjątkiem dozwolonego rejestru | Wdróż tylko modele rejestru w dozwolonym rejestrze i które nie są ograniczone. | Odmów, Wyłączone | 1.0.0-preview |
| Wystąpienie obliczeniowe usługi Azure Machine Edukacja powinno zostać zamknięte bezczynnie. | Posiadanie harmonogramu zamknięcia bezczynności zmniejsza koszt, zamykając obliczenia bezczynne po wstępnie określonym okresie działania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aby uzyskać najnowsze aktualizacje oprogramowania, należy ponownie utworzyć wystąpienia obliczeniowe usługi Azure Machine Edukacja | Upewnij się, że usługa Azure Machine Edukacja wystąpienia obliczeniowe działają w najnowszym dostępnym systemie operacyjnym. Zabezpieczenia są ulepszane i ograniczane przez uruchomienie najnowszych poprawek zabezpieczeń. Aby uzyskać więcej informacji, zobacz https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Usługa Azure Machine Edukacja Computes powinna znajdować się w sieci wirtualnej | Sieci wirtualne platformy Azure zapewniają zwiększone zabezpieczenia i izolację dla maszyny azure Edukacja klastrów obliczeniowych i wystąpień, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Po skonfigurowaniu obliczeń z siecią wirtualną nie jest on publicznie adresowany i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Azure Machine Edukacja Computes powinna mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Machine Edukacja Computes wymaga tożsamości usługi Azure Active Directory wyłącznie na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Edukacja przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.3 |
| Usługa Azure Machine Edukacja Workspaces powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszary robocze Edukacja maszyny nie są uwidocznione w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny umożliwić trybowi V1LegacyMode obsługę zgodności z poprzednimi wersjami izolacji sieci | Usługa Azure ML wykonuje przejście na nową platformę interfejsu API w wersji 2 w usłudze Azure Resource Manager i można kontrolować wersję platformy interfejsu API przy użyciu parametru V1LegacyMode. Włączenie parametru V1LegacyMode umożliwi zachowanie obszarów roboczych w tej samej izolacji sieciowej co wersja 1, chociaż nie będziesz korzystać z nowych funkcji w wersji 2. Zalecamy włączenie trybu starszego w wersji 1 tylko wtedy, gdy chcesz przechowywać dane płaszczyzny sterowania AzureML wewnątrz sieci prywatnych. Dowiedz się więcej na stronie: https://aka.ms/V1LegacyMode. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać tożsamości zarządzanej przypisanej przez użytkownika | Dostęp manange do obszaru roboczego usługi Azure ML i skojarzonych zasobów, usługi Azure Container Registry, usługi KeyVault, usługi Storage i Szczegółowe informacje aplikacji przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Domyślnie tożsamość zarządzana przypisana przez system jest używana przez obszar roboczy usługi Azure ML do uzyskiwania dostępu do skojarzonych zasobów. Tożsamość zarządzana przypisana przez użytkownika umożliwia utworzenie tożsamości jako zasobu platformy Azure i utrzymanie cyklu życia tej tożsamości. Dowiedz się więcej na https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Machine Edukacja Computes w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz metody uwierzytelniania lokalizacji, aby usługa Machine Edukacja Computes wymagała wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Modyfikowanie, wyłączone | 2.1.0 |
| Konfigurowanie obszaru roboczego usługi Azure Machine Edukacja do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznawania obszarów roboczych usługi Azure Machine Edukacja. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie obszarów roboczych usługi Azure Machine Edukacja w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla obszarów roboczych usługi Azure Machine Edukacja, aby obszary robocze nie były dostępne za pośrednictwem publicznego Internetu. Pomaga to chronić obszary robocze przed ryzykiem wycieku danych. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modyfikowanie, wyłączone | 1.0.3 |
| Konfigurowanie obszarów roboczych usługi Azure Machine Edukacja z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na obszar roboczy usługi Azure Machine Edukacja, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla obszarów roboczych usługi Azure Machine Edukacja do obszaru roboczego usługi Log Analytics | Wdraża ustawienia diagnostyczne dla obszarów roboczych usługi Azure Machine Edukacja w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnym obszarze roboczym usługi Azure Machine Edukacja brakuje tych ustawień diagnostycznych, które nie są tworzone lub aktualizowane. | DeployIfNotExists, Disabled | 1.0.1 |
| Dzienniki zasobów w obszarze roboczym usługi Azure Machine Edukacja powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AuditIfNotExists, Disabled | 1.0.1 |
Aplikacja zarządzana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definicja aplikacji dla aplikacji zarządzanej powinna używać konta magazynu dostarczonego przez klienta | Użyj własnego konta magazynu, aby kontrolować dane definicji aplikacji, gdy jest to wymaganie dotyczące przepisów lub zgodności. Definicję aplikacji zarządzanej można przechowywać na koncie magazynu udostępnianym podczas tworzenia, aby jego lokalizacja i dostęp mogły być w pełni zarządzane przez Ciebie w celu spełnienia wymagań dotyczących zgodności z przepisami. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Wdrażanie skojarzeń dla aplikacji zarządzanej | Wdraża zasób skojarzenia, który kojarzy wybrane typy zasobów z określoną aplikacją zarządzaną. To wdrożenie zasad nie obsługuje zagnieżdżonych typów zasobów. | deployIfNotExists | 1.0.0 |
Zarządzane narzędzie Grafana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Managed Grafana powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zarządzaną platformę Grafana, można zmniejszyć ryzyko wycieku danych. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Managed Grafana powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszar roboczy usługi Azure Managed Grafana nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie obszarów roboczych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie pulpitów nawigacyjnych usługi Azure Managed Grafana z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Azure Managed Grafana, można zmniejszyć ryzyko wycieku danych. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Azure Managed Grafana w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla obszaru roboczego usługi Azure Managed Grafana, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Azure Managed Grafana do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania obszarów roboczych usługi Azure Managed Grafana. | DeployIfNotExists, Disabled | 1.0.0 |
Tożsamość zarządzana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Poświadczenia federacyjne tożsamości zarządzanej z usługi Azure Kubernetes powinny pochodzić z zaufanych źródeł | Te zasady ograniczają federację z klastrami usługi Azure Kubernetes tylko do klastrów z zatwierdzonych dzierżaw, zatwierdzonych regionów i określonej listy wyjątków dodatkowych klastrów. | Inspekcja, Wyłączone, Odmowa | 1.0.0-preview |
| [Wersja zapoznawcza]: Poświadczenia federacyjne tożsamości zarządzanej z usługi GitHub powinny pochodzić od zaufanych właścicieli repozytorium | Te zasady ograniczają federację z repozytoriami GitHub tylko do zatwierdzonych właścicieli repozytoriów. | Inspekcja, Wyłączone, Odmowa | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Poświadczenia federacyjne tożsamości zarządzanej powinny pochodzić z dozwolonych typów wystawców | Te zasady ograniczają, czy tożsamości zarządzane mogą używać poświadczeń federacyjnych, które są dozwolone typowych typów wystawców, oraz zawiera listę dozwolonych wyjątków wystawcy. | Inspekcja, Wyłączone, Odmowa | 1.0.0-preview |
| [Wersja zapoznawcza]: Przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika do zestawów skalowania maszyn wirtualnych | Utwórz i przypisz wbudowaną tożsamość zarządzaną przypisaną przez użytkownika lub przypisz wstępnie utworzoną tożsamość zarządzaną przypisaną przez użytkownika na dużą skalę do zestawów skalowania maszyn wirtualnych. Aby uzyskać bardziej szczegółową dokumentację, odwiedź aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika do maszyn wirtualnych | Utwórz i przypisz wbudowaną tożsamość zarządzaną przypisaną przez użytkownika lub przypisz wstępnie utworzoną tożsamość zarządzaną przypisaną przez użytkownika na dużą skalę do maszyn wirtualnych. Aby uzyskać bardziej szczegółową dokumentację, odwiedź aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
Maps
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Mechanizm CORS nie powinien zezwalać każdemu zasobowi na dostęp do konta mapy. | Współużytkowanie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do konta mapy. Zezwalaj tylko domenom wymaganym na interakcję z kontem mapy. | Wyłączone, Inspekcja, Odmowa | 1.0.0 |
Media Services
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta usługi Azure Media Services powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasoby usługi Media Services nie są uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów usługi Media Services. Dowiedz się więcej na stronie: https://aka.ms/mediaservicesprivatelinkdocs. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta usługi Azure Media Services powinny używać interfejsu API obsługującego usługę Private Link | Konta usługi Media Services należy utworzyć przy użyciu interfejsu API obsługującego link prywatny. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta usługi Azure Media Services, które zezwalają na dostęp do starszego interfejsu API w wersji 2, powinny być blokowane | Interfejs API usługi Media Services w starszej wersji 2 umożliwia żądania, których nie można zarządzać przy użyciu usługi Azure Policy. Zasoby usługi Media Services utworzone przy użyciu interfejsu API 2020-05-01 lub nowszego blokują dostęp do starszego interfejsu API w wersji 2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasady klucza zawartości usługi Azure Media Services powinny używać uwierzytelniania tokenu | Zasady klucza zawartości definiują warunki, które muszą zostać spełnione w celu uzyskania dostępu do kluczy zawartości. Ograniczenie tokenu zapewnia dostęp do kluczy zawartości tylko przez użytkowników, którzy mają prawidłowe tokeny z usługi uwierzytelniania, na przykład Identyfikator Entra firmy Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Zadania usługi Azure Media Services z danymi wejściowymi HTTPS powinny ograniczać identyfikatory URI danych wejściowych do dozwolonych wzorców identyfikatorów URI | Ogranicz dane wejściowe HTTPS używane przez zadania usługi Media Services do znanych punktów końcowych. Dane wejściowe z punktów końcowych HTTPS można całkowicie wyłączyć, ustawiając pustą listę dozwolonych wzorców wejściowych zadań. Gdzie dane wejściowe zadania określają "baseUri", wzorce będą dopasowywane do tej wartości; gdy właściwość "baseUri" nie jest ustawiona, wzorzec jest dopasowywany do właściwości "files". | Odmów, Wyłączone | 1.0.1 |
| Usługa Azure Media Services powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych kont usługi Media Services. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/mediaservicescmkdocs. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Media Services powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Media Services, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Media Services do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania konta usługi Media Services. Dowiedz się więcej na stronie: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Media Services z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Media Services, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Migrate
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie zasobów usługi Azure Migrate do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania projektu usługi Azure Migrate. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
sieci komórkowej,
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie dostępu diagnostycznego płaszczyzny kontroli pakietów do używania typu uwierzytelniania Microsoft EntraID | Typ Authenticaton musi mieć wartość Microsoft EntraID w celu uzyskania dostępu diagnostycznego rdzeni pakietów za pośrednictwem lokalnych interfejsów API | Modyfikowanie, wyłączone | 1.0.0 |
| Dostęp diagnostyczny płaszczyzny kontroli pakietów core powinien używać tylko typu uwierzytelniania EntraID firmy Microsoft | Typ Authenticaton musi mieć wartość Microsoft EntraID w celu uzyskania dostępu diagnostycznego rdzeni pakietów za pośrednictwem lokalnych interfejsów API | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Grupa SIM powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku wpisów tajnych SIM w grupie SIM. Klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami i umożliwiają szyfrowanie danych za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Monitorowanie
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Konfigurowanie maszyn z systemem Linux z obsługą usługi Azure Arc przy użyciu agentów usługi Log Analytics połączonych z domyślnym obszarem roboczym usługi Log Analytics | Chroń maszyny z systemem Linux z obsługą usługi Azure Arc przy użyciu Microsoft Defender dla Chmury możliwości, instalując agentów usługi Log Analytics, którzy wysyłają dane do domyślnego obszaru roboczego usługi Log Analytics utworzonego przez Microsoft Defender dla Chmury. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn z systemem Windows z obsługą usługi Azure Arc przy użyciu agentów usługi Log Analytics połączonych z domyślnym obszarem roboczym usługi Log Analytics | Chroń maszyny z systemem Windows z obsługą usługi Azure Arc przy użyciu Microsoft Defender dla Chmury możliwości, instalując agentów usługi Log Analytics, którzy wysyłają dane do domyślnego obszaru roboczego usługi Log Analytics utworzonego przez Microsoft Defender dla Chmury. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań usługi Azure Monitor na maszynach wirtualnych | Skonfiguruj tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez usługę Azure Monitor i nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań usługi Azure Monitor i musi zostać dodana do maszyn przed użyciem dowolnego rozszerzenia usługi Azure Monitor. Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | Modyfikowanie, wyłączone | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Dziennik aktywności powinien być zachowywany przez co najmniej jeden rok | Te zasady sprawdzają dziennik aktywności, jeśli okres przechowywania nie jest ustawiony na 365 dni lub na zawsze (dni przechowywania ustawione na 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji Administracja istracyjnych | Te zasady przeprowadzają inspekcję określonych operacji Administracja istracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji zasad | Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 3.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
| Składniki Szczegółowe informacje aplikacji powinny blokować pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych | Zwiększ bezpieczeństwo Szczegółowe informacje aplikacji, blokując pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych. Tylko sieci połączone za pomocą łącza prywatnego będą mogły pozyskiwać i wykonywać zapytania dotyczące dzienników tego składnika. Dowiedz się więcej na https://aka.ms/AzMonPrivateLink#configure-application-insights. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Składniki Szczegółowe informacje aplikacji powinny blokować pozyskiwanie danych spoza usługi Azure Active Directory. | Wymuszanie pozyskiwania dzienników w celu wymagania uwierzytelniania usługi Azure Active Directory uniemożliwia osobie atakującej nieuwierzytelnione dzienniki, co może prowadzić do nieprawidłowego stanu, fałszywych alertów i nieprawidłowych dzienników przechowywanych w systemie. | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Składniki Szczegółowe informacje aplikacji z włączonym usługą Private Link powinny używać kont Bring Your Own Storage dla profilera i debugera. | Aby obsługiwać zasady linków prywatnych i kluczy zarządzanych przez klienta, utwórz własne konto magazynu dla profilera i debugera. Dowiedz się więcej w https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów | Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów. Pamiętaj, aby wybrać tylko typy zasobów, które obsługują ustawienia diagnostyczne. | AuditIfNotExists | 2.0.1 |
| aplikacja systemu Azure Gateway powinna mieć włączone dzienniki zasobów | Włącz dzienniki zasobów dla bramy aplikacja systemu Azure (plus zapory aplikacji internetowej) i przesyłaj strumieniowo do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w przychodzący ruch internetowy i akcje podjęte w celu wyeliminowania ataków. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Front Door powinna mieć włączone dzienniki zasobów | Włącz dzienniki zasobów dla usługi Azure Front Door (plus zapory aplikacji internetowej) i przesyłaj strumieniowo do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w przychodzący ruch internetowy i akcje podjęte w celu wyeliminowania ataków. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Front Door Standard lub Premium (Plus WAF) powinna mieć włączone dzienniki zasobów | Włącz dzienniki zasobów dla usługi Azure Front Door Standard lub Premium (plus zapora aplikacji internetowej) i przesyłaj strumieniowo do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w przychodzący ruch internetowy i akcje podjęte w celu wyeliminowania ataków. | AuditIfNotExists, Disabled | 1.0.0 |
| Alerty usługi Azure Log Search w obszarach roboczych usługi Log Analytics powinny używać kluczy zarządzanych przez klienta | Upewnij się, że alerty usługi Azure Log Search implementują klucze zarządzane przez klienta, przechowując tekst zapytania przy użyciu konta magazynu udostępnionego przez klienta dla zapytanego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Profil dziennika usługi Azure Monitor powinien zbierać dzienniki dla kategorii "write", "delete" i "action" | Te zasady zapewniają, że profil dziennika zbiera dzienniki dla kategorii "write", "delete" i "action" | AuditIfNotExists, Disabled | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) | Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Dzienniki usługi Azure Monitor dla Szczegółowe informacje aplikacji powinny być połączone z obszarem roboczym usługi Log Analytics | Połącz składnik Application Szczegółowe informacje z obszarem roboczym usługi Log Analytics w celu szyfrowania dzienników. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i uzyskania większej kontroli nad dostępem do danych w usłudze Azure Monitor. Łączenie składnika z obszarem roboczym usługi Log Analytics, który jest włączony przy użyciu klucza zarządzanego przez klienta, gwarantuje, że dzienniki aplikacji Szczegółowe informacje spełniają to wymaganie dotyczące zgodności, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Zakres usługi Azure Monitor Private Link powinien blokować dostęp do zasobów nienależących do linków prywatnych | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z zasobami platformy Azure za pośrednictwem prywatnego punktu końcowego z zakresem usługi Azure Monitor Private Link (AMPLS). Tryby dostępu usługi Private Link są ustawiane na platformie AMPLS w celu kontrolowania, czy pozyskiwanie i wysyłanie zapytań do żądań z sieci może dotrzeć do wszystkich zasobów, czy tylko zasoby usługi Private Link (aby zapobiec eksfiltracji danych). Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zakres usługi Azure Monitor Private Link powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zakres łączy prywatnych usługi Azure Monitor, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Monitor powinna zbierać dzienniki aktywności ze wszystkich regionów | Te zasady przeprowadzają inspekcję profilu dziennika usługi Azure Monitor, który nie eksportuje działań ze wszystkich regionów pomoc techniczna platformy Azure, w tym globalnych. | AuditIfNotExists, Disabled | 2.0.0 |
| Należy wdrożyć rozwiązanie Azure Monitor "Zabezpieczenia i inspekcja" | Te zasady zapewniają wdrożenie zabezpieczeń i inspekcji. | AuditIfNotExists, Disabled | 1.0.0 |
| Subskrypcje platformy Azure powinny mieć profil dziennika dla dziennika aktywności | Te zasady zapewniają włączenie profilu dziennika na potrzeby eksportowania dzienników aktywności. Przeprowadza inspekcję, czy nie utworzono profilu dziennika w celu wyeksportowania dzienników na konto magazynu lub do centrum zdarzeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie dzienników aktywności platformy Azure w celu przesyłania strumieniowego do określonego obszaru roboczego usługi Log Analytics | Wdraża ustawienia diagnostyczne działania platformy Azure w celu przesyłania strumieniowego dzienników inspekcji subskrypcji do obszaru roboczego usługi Log Analytics w celu monitorowania zdarzeń na poziomie subskrypcji | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie składników aplikacja systemu Azure Szczegółowe informacje w celu wyłączenia dostępu do sieci publicznej na potrzeby pozyskiwania dzienników i wykonywania zapytań | Wyłącz pozyskiwanie dzienników składników i wykonywanie zapytań z sieci publicznych w celu zwiększenia bezpieczeństwa. Tylko sieci połączone za pomocą łącza prywatnego będą mogły pozyskiwać dzienniki i wykonywać zapytania w tym obszarze roboczym. Dowiedz się więcej na https://aka.ms/AzMonPrivateLink#configure-application-insights. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie obszarów roboczych usługi Azure Log Analytics w celu wyłączenia dostępu do sieci publicznej na potrzeby pozyskiwania dzienników i wykonywania zapytań | Zwiększ bezpieczeństwo obszaru roboczego, blokując pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych. Tylko sieci połączone za pomocą łącza prywatnego będą mogły pozyskiwać dzienniki i wykonywać zapytania w tym obszarze roboczym. Dowiedz się więcej na https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie zakresu usługi Azure Monitor Private Link w celu blokowania dostępu do zasobów nienależących do linków prywatnych | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z zasobami platformy Azure za pośrednictwem prywatnego punktu końcowego z zakresem usługi Azure Monitor Private Link (AMPLS). Tryby dostępu usługi Private Link są ustawiane na platformie AMPLS w celu kontrolowania, czy pozyskiwanie i wysyłanie zapytań do żądań z sieci może dotrzeć do wszystkich zasobów, czy tylko zasoby usługi Private Link (aby zapobiec eksfiltracji danych). Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie zakresu usługi Azure Monitor Private Link do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zakresu łącza prywatnego usługi Azure Monitor. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zakresów usługi Azure Monitor Private Link z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zakresy usługi Azure Monitor Private Link, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie agenta zależności na serwerach z systemem Linux z obsługą usługi Azure Arc | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie agenta zależności na serwerach z systemem Linux z obsługą usługi Azure Arc przy użyciu ustawień agenta monitorowania platformy Azure | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności przy użyciu ustawień agenta monitorowania platformy Azure. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Konfigurowanie agenta zależności na serwerach z systemem Windows z obsługą usługi Azure Arc | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie agenta zależności na serwerach z systemem Windows z obsługą usługi Azure Arc przy użyciu ustawień agenta monitorowania platformy Azure | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności przy użyciu ustawień agenta monitorowania platformy Azure. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Konfigurowanie maszyn z systemem Linux Arc do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny z systemem Linux Arc z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 2.2.0 |
| Konfigurowanie maszyn z obsługą usługi Linux Arc do uruchamiania agenta usługi Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Linux Arc w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli region jest obsługiwany. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurowanie maszyn z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie w celu połączenia maszyn wirtualnych z systemem Linux, zestawów skalowania maszyn wirtualnych i maszyn arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 6.3.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Linux z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 4.2.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez system | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Konfigurowanie maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Linux z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 4.2.0 |
| Konfigurowanie maszyn wirtualnych z systemem Linux do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez system | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Konfigurowanie maszyn wirtualnych z systemem Linux do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Konfigurowanie rozszerzenia usługi Log Analytics na serwerach z systemem Linux z obsługą usługi Azure Arc. Zobacz powiadomienie o wycofaniu poniżej | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej usługi Log Analytics. Szczegółowe informacje o maszynie wirtualnej używają agenta usługi Log Analytics do zbierania danych wydajności systemu operacyjnego gościa i zapewnia wgląd w ich wydajność. Zobacz więcej — https://aka.ms/vminsightsdocs. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor | DeployIfNotExists, Disabled | 2.1.1 |
| Konfigurowanie rozszerzenia usługi Log Analytics na serwerach z systemem Windows z obsługą usługi Azure Arc | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej usługi Log Analytics. Szczegółowe informacje o maszynie wirtualnej używają agenta usługi Log Analytics do zbierania danych wydajności systemu operacyjnego gościa i zapewnia wgląd w ich wydajność. Zobacz więcej — https://aka.ms/vminsightsdocs. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.1.1 |
| Konfigurowanie obszaru roboczego usługi Log Analytics i konta automatyzacji w celu scentralizowanego rejestrowania i monitorowania | Wdróż grupę zasobów zawierającą obszar roboczy usługi Log Analytics i połączone konto automatyzacji, aby scentralizować dzienniki i monitorowanie. Konto automatyzacji jest aprerequisite dla rozwiązań, takich jak Aktualizacje i Change Tracking. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie maszyn z systemem Windows Arc do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny z systemem Windows Arc z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 2.2.0 |
| Konfigurowanie maszyn z obsługą usługi Windows Arc do uruchamiania agenta usługi Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Windows Arc w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurowanie maszyn z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows, zestawy skalowania maszyn wirtualnych i maszyny arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 4.5.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Windows z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 3.3.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu tożsamości zarządzanej przypisanej przez system | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
| Konfigurowanie maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 3.3.0 |
| Konfigurowanie maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu przypisanej przez system tożsamości zarządzanej | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Konfigurowanie maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
| Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Zgłasza zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Wdrażanie — konfigurowanie agenta zależności do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie — konfigurowanie agenta zależności do włączenia na maszynach wirtualnych z systemem Windows | Wdróż agenta zależności dla maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie — konfigurowanie ustawień diagnostycznych w obszarze roboczym usługi Log Analytics, który ma być włączony w zarządzanym module HSM usługi Azure Key Vault | Wdraża ustawienia diagnostyczne zarządzanego modułu HSM usługi Azure Key Vault w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy brakuje dowolnego zarządzanego modułu HSM usługi Azure Key Vault, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows | Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a rozszerzenie nie jest zainstalowane. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia na maszynach wirtualnych z systemem Windows | Wdróż rozszerzenie usługi Log Analytics dla maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Wdrażanie agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście, a agent nie jest zainstalowany. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. | DeployIfNotExists, Disabled | 3.1.1 |
| Wdrażanie agenta zależności dla maszyn wirtualnych z systemem Linux | Wdróż agenta zależności dla maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | deployIfNotExists | 5.0.0 |
| Wdrażanie agenta zależności dla maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | DeployIfNotExists, Disabled | 3.1.1 |
| Wdrażanie agenta zależności do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. | DeployIfNotExists, Disabled | 1.2.2 |
| Wdrażanie agenta zależności do włączenia na maszynach wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | DeployIfNotExists, Disabled | 1.2.2 |
| Wdrażanie Ustawienia diagnostycznych dla konta usługi Batch w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla konta usługi Batch w celu przesyłania strumieniowego do regionalnego centrum zdarzeń po utworzeniu lub zaktualizowaniu dowolnego konta usługi Batch, które nie ma tych ustawień diagnostycznych. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla konta usługi Batch w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla konta usługi Batch w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy dowolne konto usługi Batch, które nie ma tych ustawień diagnostycznych, zostanie utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Analytics w usłudze Event Hub | Wdraża ustawienia diagnostyczne dla usługi Data Lake Analytics, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w usłudze Data Lake Analytics brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Analytics w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Data Lake Analytics, aby przesyłać strumieniowo do regionalnego obszaru roboczego usługi Log Analytics, gdy w usłudze Data Lake Analytics brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Storage Gen1 w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Data Lake Storage Gen1 w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy brakuje jakichkolwiek ustawień diagnostycznych usługi Data Lake Storage Gen1, które nie są tworzone lub aktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Storage Gen1 w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Data Lake Storage Gen1 w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy brakuje jakichkolwiek ustawień diagnostycznych usługi Data Lake Storage Gen1, które nie są tworzone lub aktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla centrum zdarzeń w centrum zdarzeń | Wdraża ustawienia diagnostyczne centrum zdarzeń w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy w dowolnym centrum zdarzeń, które nie ma tych ustawień diagnostycznych, zostanie utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.1.0 |
| Wdrażanie Ustawienia diagnostycznych dla centrum zdarzeń w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne centrum zdarzeń w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy w dowolnym centrum zdarzeń, które nie ma tych ustawień diagnostycznych, zostanie utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Key Vault w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Key Vault w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy brakuje dowolnego magazynu kluczy, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 3.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Logic Apps w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Logic Apps, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w usłudze Logic Apps brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Logic Apps w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Logic Apps, aby przesyłać strumieniowo do regionalnego obszaru roboczego usługi Log Analytics, gdy w usłudze Logic Apps brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla sieciowych grup zabezpieczeń | Te zasady automatycznie wdrażają ustawienia diagnostyczne w sieciowych grupach zabezpieczeń. Zostanie automatycznie utworzone konto magazynu o nazwie {storagePrefixParameter}{NSGLocation}. | deployIfNotExists | 2.0.1 |
| Wdrażanie Ustawienia diagnostycznych dla usług wyszukiwania w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usług wyszukiwania w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy wszystkie usługi wyszukiwania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usług wyszukiwania w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usług wyszukiwania w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy wszystkie usługi wyszukiwania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Service Bus w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Service Bus, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w dowolnej usłudze Service Bus brakuje tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Service Bus w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Service Bus, aby przesyłać strumieniowo do regionalnego obszaru roboczego usługi Log Analytics, gdy w dowolnej usłudze Service Bus, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 2.1.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Stream Analytics w usłudze Event Hub | Wdraża ustawienia diagnostyczne usługi Stream Analytics w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy w usłudze Stream Analytics brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Stream Analytics w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Stream Analytics w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy w usłudze Stream Analytics brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Linux. Zobacz powiadomienie o wycofaniu poniżej | Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. Powiadomienie o wycofaniu: Agent usługi Log Analytics nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor | deployIfNotExists | 3.0.0 |
| Wdrażanie rozszerzenia usługi Log Analytics dla maszyn wirtualnych z systemem Linux. Zobacz powiadomienie o wycofaniu poniżej | Wdróż rozszerzenie usługi Log Analytics dla maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor | deployIfNotExists | 3.0.0 |
| Włączanie rejestrowania według grupy kategorii dla 1ES hostowanych pul (microsoft.cloudtest/hostedpools) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla 1ES Hosted Pools (microsoft.cloudtest/hostedpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla 1ES hostowanych pul (microsoft.cloudtest/hostedpools) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla 1ES Hosted Pools (microsoft.cloudtest/hostedpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla 1ES hostowanych pul (microsoft.cloudtest/hostedpools) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla 1ES Hosted Pools (microsoft.cloudtest/hostedpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Analysis Services (microsoft.analysisservices/servers) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług Analysis Services (microsoft.analysisservices/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Analysis Services (microsoft.analysisservices/servers) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług Analysis Services (microsoft.analysisservices/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Analysis Services (microsoft.analysisservices/servers) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług Analysis Services (microsoft.analysisservices/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług API Management (microsoft.apimanagement/service) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usług API Management (microsoft.apimanagement/service) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usług API Management (microsoft.apimanagement/service) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi App Configuration (microsoft.appconfiguration/configurationstores) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi App Configuration (microsoft.appconfiguration/configurationstores) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi App Configuration (microsoft.appconfiguration/configurationstores) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi App Service (microsoft.web/sites) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bram aplikacji (microsoft.network/applicationgateways) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla bram aplikacji (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bram aplikacji (microsoft.network/applicationgateways) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla bram aplikacji (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bram aplikacji (microsoft.network/applicationgateways) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla bram aplikacji (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla grupy aplikacji (microsoft.desktopvirtualization/applicationgroups) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla grupy aplikacji usługi Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla grup aplikacji (microsoft.desktopvirtualization/applicationgroups) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla grup aplikacji (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla grup aplikacji (microsoft.desktopvirtualization/applicationgroups) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla grup aplikacji (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla grup aplikacji (microsoft.desktopvirtualization/applicationgroups) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla grup aplikacji (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Application Szczegółowe informacje (microsoft.insights/components) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Application Szczegółowe informacje (microsoft.insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Application Szczegółowe informacje (microsoft.insights/components) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Application Szczegółowe informacje (microsoft.insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla Szczegółowe informacje aplikacji (Microsoft.Szczegółowe informacje/components) do usługi Log Analytics (wirtualne enklawy) | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Application Szczegółowe informacje (Microsoft.Szczegółowe informacje/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.1 |
| Włączanie rejestrowania według grupy kategorii dla Szczegółowe informacje aplikacji (microsoft.insights/components) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla Szczegółowe informacje aplikacji (microsoft.insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla dostawców zaświadczania (microsoft.attestation/attestationproviders) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla dostawców zaświadczania (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla dostawców zaświadczania (microsoft.attestation/attestationproviders) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla dostawców zaświadczania (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włącz rejestrowanie według grupy kategorii dla dostawców zaświadczania (microsoft.attestation/attestationproviders) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla dostawców zaświadczania (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Automation (microsoft.automation/automationaccounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla kont usługi Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Automation (microsoft.automation/automationaccounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla kont usługi Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Automation (microsoft.automation/automationaccounts) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla kont usługi Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla chmur prywatnych AVS (microsoft.avs/privateclouds) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla chmur prywatnych AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla chmur prywatnych AVS (microsoft.avs/privateclouds) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla chmur prywatnych AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla chmur prywatnych AVS (microsoft.avs/privateclouds) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla chmur prywatnych AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Azure AD Domain Services (microsoft.aad/domainservices) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług Azure AD Domain Services (microsoft.aad/domainservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Azure AD Domain Services (microsoft.aad/domainservices) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług Azure AD Domain Services (microsoft.aad/domainservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Azure AD Domain Services (microsoft.aad/domainservices) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług Azure AD Domain Services (microsoft.aad/domainservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure API for FHIR (microsoft.healthcareapis/services) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure API for FHIR (microsoft.healthcareapis/services). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure API for FHIR (microsoft.healthcareapis/services) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure API for FHIR (microsoft.healthcareapis/services). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure API for FHIR (microsoft.healthcareapis/services) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla interfejsu API platformy Azure for FHIR (microsoft.healthcareapis/services). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Cache for Redis (microsoft.cache/redis) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Cache for Redis (microsoft.cache/redis) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Cache for Redis (microsoft.cache/redis) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla kont usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla kont usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla kont usługi Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla klastrów usługi Azure Data Explorer (microsoft.kusto/clusters) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla klastrów usługi Azure Data Explorer (microsoft.kusto/clusters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla klastrów usługi Azure Data Explorer (microsoft.kusto/clusters) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla klastrów usługi Azure Data Explorer (microsoft.kusto/clusters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla klastrów usługi Azure Data Explorer (microsoft.kusto/clusters) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla klastrów usługi Azure Data Explorer (microsoft.kusto/clusters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla serwerów usługi Azure Database for MariaDB (microsoft.dbformariadb/servers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla serwerów usługi Azure Database for MariaDB (microsoft.dbformariadb/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla serwerów usługi Azure Database for MariaDB (microsoft.dbformariadb/servers) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla serwerów usługi Azure Database for MariaDB (microsoft.dbformariadb/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla serwerów usługi Azure Database for MariaDB (microsoft.dbformariadb/servers) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla serwerów usługi Azure Database for MariaDB (microsoft.dbformariadb/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla serwerów usługi Azure Database for MySQL (microsoft.dbformysql/servers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla serwerów usługi Azure Database for MySQL (microsoft.dbformysql/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla serwerów usługi Azure Database for MySQL (microsoft.dbformysql/servers) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla serwerów usługi Azure Database for MySQL (microsoft.dbformysql/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla serwerów usługi Azure Database for MySQL (microsoft.dbformysql/servers) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla serwerów usługi Azure Database for MySQL (microsoft.dbformysql/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Azure Databricks Services (microsoft.databricks/workspaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług Azure Databricks Services (microsoft.databricks/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Azure Databricks Services (microsoft.databricks/workspaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług Azure Databricks Services (microsoft.databricks/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Azure Databricks Services (microsoft.databricks/workspaces) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług Azure Databricks Services (microsoft.databricks/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure FarmBeats (microsoft.agfoodplatform/farmbeats) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure FarmBeats (microsoft.agfoodplatform/farmbeats) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure FarmBeats (microsoft.agfoodplatform/farmbeats) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii na potrzeby testowania obciążenia platformy Azure (microsoft.loadtestservice/loadtests) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń na potrzeby testowania obciążenia platformy Azure (microsoft.loadtestservice/loadtests). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii na potrzeby testowania obciążenia platformy Azure (microsoft.loadtestservice/loadtests) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics na potrzeby testowania obciążenia platformy Azure (microsoft.loadtestservice/loadtests). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii na potrzeby testowania obciążenia platformy Azure (microsoft.loadtestservice/loadtests) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu na potrzeby testowania obciążenia platformy Azure (microsoft.loadtestservice/loadtests). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Machine Edukacja (microsoft.machinelearningservices/workspaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Machine Edukacja (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Machine Edukacja (microsoft.machinelearningservices/workspaces) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Machine Edukacja (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Machine Edukacja (microsoft.machinelearningservices/workspaces) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure Machine Edukacja (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Managed Grafana (microsoft.dashboard/grafana) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Managed Grafana (microsoft.dashboard/grafana). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Managed Grafana (microsoft.dashboard/grafana) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Managed Grafana (microsoft.dashboard/grafana). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Managed Grafana (microsoft.dashboard/grafana) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zarządzanej przez platformę Azure Grafana (microsoft.dashboard/grafana). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Spring Apps (microsoft.appplatform/spring) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Spring Apps (microsoft.appplatform/spring). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Spring Apps (microsoft.appplatform/spring) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Spring Apps (microsoft.appplatform/spring). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Spring Apps (microsoft.appplatform/spring) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure Spring Apps (microsoft.appplatform/spring). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Video Indexer (microsoft.videoindexer/accounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Video Indexer (microsoft.videoindexer/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Video Indexer (microsoft.videoindexer/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Video Indexer (microsoft.videoindexer/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Azure Video Indexer (microsoft.videoindexer/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure Video Indexer (microsoft.videoindexer/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów kopii zapasowych (microsoft.dataprotection/backupvaults) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla magazynów kopii zapasowych (microsoft.dataprotection/backupvaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów kopii zapasowych (microsoft.dataprotection/backupvaults) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla magazynów kopii zapasowych (microsoft.dataprotection/backupvaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów kopii zapasowych (microsoft.dataprotection/backupvaults) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla magazynów kopii zapasowych (microsoft.dataprotection/backupvaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Bastions (microsoft.network/bastionhosts) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Bastions (microsoft.network/bastionhosts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Bastions (microsoft.network/bastionhosts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Batch (microsoft.batch/batchaccounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla kont usługi Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Batch (microsoft.batch/batchaccounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla kont usługi Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Batch (microsoft.batch/batchaccounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla kont usługi Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Bot Services (microsoft.botservice/botservices) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług Bot Services (microsoft.botservice/botservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Bot Services (microsoft.botservice/botservices) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Bot Services (microsoft.botservice/botservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Bot Services (microsoft.botservice/botservices) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług Bot Services (microsoft.botservice/botservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych (microsoft.cache/redisenterprise/databases) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pamięci podręcznych (microsoft.cache/redisenterprise/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych (microsoft.cache/redisenterprise/databases) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pamięci podręcznych (microsoft.cache/redisenterprise/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych (microsoft.cache/redisenterprise/databases) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pamięci podręcznych (microsoft.cache/redisenterprise/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla eksperymentów chaosu (microsoft.chaos/experiments) w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla eksperymentów chaosu (microsoft.chaos/experiments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla eksperymentów chaosu (microsoft.chaos/experiments) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla eksperymentów chaosu (microsoft.chaos/experiments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla eksperymentów chaosu (microsoft.chaos/experiments) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla eksperymentów chaosu (microsoft.chaos/experiments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont podpisywania kodu (microsoft.codesigning/codesigningaccounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla kont podpisywania kodu (microsoft.codesigning/codesigningaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont podpisywania kodu (microsoft.codesigning/codesigningaccounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla kont podpisywania kodu (microsoft.codesigning/codesigningaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włącz rejestrowanie według grupy kategorii dla kont podpisywania kodu (microsoft.codesigning/codesigningaccounts) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla kont podpisywania kodu (microsoft.codesigning/codesigningaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usług komunikacyjnych (microsoft.communication/communicationservices) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług komunikacyjnych (microsoft.communication/communicationservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Komunikacyjnych (microsoft.communication/communicationservices) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług Komunikacyjnych (microsoft.communication/communicationservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług komunikacyjnych (microsoft.communication/communicationservices) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług komunikacyjnych (microsoft.communication/communicationservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zasobów pamięci podręcznej Połączenie ed (microsoft.connectedcache/ispcustomers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla zasobów pamięci podręcznej Połączenie ed (microsoft.connectedcache/ispcustomers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zasobów Połączenie pamięci podręcznej (microsoft.connectedcache/ispcustomers) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla Połączenie zasobów pamięci podręcznej (microsoft.connectedcache/ispcustomers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zasobów Połączenie pamięci podręcznej (microsoft.connectedcache/ispcustomers) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zasobów pamięci podręcznej Połączenie ed (microsoft.connectedcache/ispcustomers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk usługi Container Apps (microsoft.app/managedenvironments) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do usługi Event Hub for Container Apps Environments (microsoft.app/managedenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk usługi Container Apps (microsoft.app/managedenvironments) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla środowisk Container Apps Environment (microsoft.app/managedenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk usługi Container Apps (microsoft.app/managedenvironments) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla środowisk usługi Container Apps (microsoft.app/managedenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla wystąpień kontenera (microsoft.containerinstance/containergroups) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla wystąpień kontenera (microsoft.containerinstance/containergroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla wystąpień kontenera (microsoft.containerinstance/containergroups) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla wystąpień kontenera (microsoft.containerinstance/containergroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla wystąpień kontenera (microsoft.containerinstance/containergroups) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla wystąpień kontenera (microsoft.containerinstance/containergroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla rejestrów kontenerów (microsoft.containerregistry/registries) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla rejestrów kontenerów (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla rejestrów kontenerów (microsoft.containerregistry/registries) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla rejestrów kontenerów (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla rejestrów kontenerów (microsoft.containerregistry/registries) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla rejestrów kontenerów (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla reguł zbierania danych (microsoft.insights/datacollectionrules) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla reguł zbierania danych (microsoft.insights/datacollectionrules). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla reguł zbierania danych (microsoft.insights/datacollectionrules) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla reguł zbierania danych (microsoft.insights/datacollectionrules). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla reguł zbierania danych (microsoft.insights/datacollectionrules) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla reguł zbierania danych (microsoft.insights/datacollectionrules). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla fabryk danych (V2) (microsoft.datafactory/factory) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla fabryk danych (V2) (microsoft.datafactory/factory). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla fabryk danych (V2) (microsoft.datafactory/factory) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla fabryk danych (V2) (microsoft.datafactory/factory). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla fabryk danych (V2) (microsoft.datafactory/factory) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla fabryk danych (V2) (microsoft.datafactory/factory). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Data Lake Analytics (microsoft.datalakeanalytics/accounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Data Lake Analytics (microsoft.datalakeanalytics/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Data Lake Analytics (microsoft.datalakeanalytics/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Data Lake Analytics (microsoft.datalakeanalytics/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Data Lake Analytics (microsoft.datalakeanalytics/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Data Lake Analytics (microsoft.datalakeanalytics/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Data Lake Storage Gen1 (microsoft.datalakestore/accounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Data Lake Storage Gen1 (microsoft.datalakestore/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Data Lake Storage Gen1 (microsoft.datalakestore/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Data Lake Storage Gen1 (microsoft.datalakestore/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Data Lake Storage Gen1 (microsoft.datalakestore/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Data Lake Storage Gen1 (microsoft.datalakestore/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla udziałów danych (microsoft.datashare/accounts) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla udziałów danych (microsoft.datashare/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla udziałów danych (microsoft.datashare/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla udziałów danych (microsoft.datashare/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla udziałów danych (microsoft.datashare/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla udziałów danych (microsoft.datashare/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla centrów deweloperskich (microsoft.devcenter/devcenters) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla centrów deweloperskich (microsoft.devcenter/devcenters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla centrów deweloperów (microsoft.devcenter/devcenters) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla centrów deweloperskich (microsoft.devcenter/devcenters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla centrów deweloperskich (microsoft.devcenter/devcenters) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla centrów deweloperskich (microsoft.devcenter/devcenters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi DICOM (microsoft.healthcareapis/workspaces/dicomservices) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi DICOM (microsoft.healthcareapis/workspaces/dicomservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi DICOM (microsoft.healthcareapis/workspaces/dicomservices) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi DICOM (microsoft.healthcareapis/workspaces/dicomservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi DICOM (microsoft.healthcareapis/workspaces/dicomservices) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi DICOM (microsoft.healthcareapis/workspaces/dicomservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla punktów końcowych (microsoft.cdn/profiles/endpoints) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla punktów końcowych (microsoft.cdn/profiles/endpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla punktów końcowych (microsoft.cdn/profiles/endpoints) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla punktów końcowych (microsoft.cdn/profiles/endpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla punktów końcowych (microsoft.cdn/profiles/endpoints) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla punktów końcowych (microsoft.cdn/profiles/endpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla domen usługi Event Grid (microsoft.eventgrid/domains) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla domen usługi Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla domen usługi Event Grid (microsoft.eventgrid/domains) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla domen usługi Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla domen usługi Event Grid (microsoft.eventgrid/domains) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla domen usługi Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw partnerów usługi Event Grid (microsoft.eventgrid/partnernamespaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przestrzeni nazw partnerów usługi Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw partnerów usługi Event Grid (microsoft.eventgrid/partnernamespaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla przestrzeni nazw partnerów usługi Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw partnerów usługi Event Grid (microsoft.eventgrid/partnernamespaces) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przestrzeni nazw partnerów usługi Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów partnerów usługi Event Grid (microsoft.eventgrid/partnertopics) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla tematów partnerów usługi Event Grid (microsoft.eventgrid/partnertopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów partnerów usługi Event Grid (microsoft.eventgrid/partnertopics) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla tematów partnerów usługi Event Grid (microsoft.eventgrid/partnertopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów partnerów usługi Event Grid (microsoft.eventgrid/partnertopics) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla tematów partnerów usługi Event Grid (microsoft.eventgrid/partnertopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów systemu usługi Event Grid (microsoft.eventgrid/systemtopics) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla tematów systemu usługi Event Grid (microsoft.eventgrid/systemtopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów systemu usługi Event Grid (microsoft.eventgrid/systemtopics) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla tematów systemu usługi Event Grid (microsoft.eventgrid/systemtopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów systemu usługi Event Grid (microsoft.eventgrid/systemtopics) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla tematów systemu usługi Event Grid (microsoft.eventgrid/systemtopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów usługi Event Grid (microsoft.eventgrid/topics) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla tematów usługi Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów usługi Event Grid (microsoft.eventgrid/topics) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla tematów usługi Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla tematów usługi Event Grid (microsoft.eventgrid/topics) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla tematów usługi Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Event Hubs (microsoft.eventhub/namespaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przestrzeni nazw usługi Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Event Hubs (microsoft.eventhub/namespaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla przestrzeni nazw usługi Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Event Hubs (microsoft.eventhub/namespaces) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przestrzeni nazw usługi Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych eksperymentów (microsoft.experimentation/experimentworkspaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla obszarów roboczych eksperymentów (microsoft.experimentation/experimentworkspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych eksperymentów (microsoft.experimentation/experimentworkspaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla obszarów roboczych eksperymentów (microsoft.experimentation/experimentworkspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych eksperymentów (microsoft.experimentation/experimentworkspaces) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla obszarów roboczych eksperymentu (microsoft.experimentation/experimentworkspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obwodów usługi ExpressRoute (microsoft.network/expressroutecircuits) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla obwodów usługi ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obwodów usługi ExpressRoute (microsoft.network/expressroutecircuits) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla obwodów usługi ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obwodów usługi ExpressRoute (microsoft.network/expressroutecircuits) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla obwodów usługi ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi FHIR (microsoft.healthcareapis/workspaces/fhirservices) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do usługi Event Hub for FHIR (microsoft.healthcareapis/workspaces/fhirservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi FHIR (microsoft.healthcareapis/workspaces/fhirservices) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi FHIR (microsoft.healthcareapis/workspaces/fhirservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi FHIR (microsoft.healthcareapis/workspaces/fhirservices) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi FHIR (microsoft.healthcareapis/workspaces/fhirservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zapory (microsoft.network/azurefirewalls) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zapory (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zapór (microsoft.network/azurefirewalls) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla zapór (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zapór (microsoft.network/azurefirewalls) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zapór (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zapór (microsoft.network/azurefirewalls) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zapór (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i cdN (microsoft.cdn/profiles) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla profilów usługi Front Door i cdN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.cdn/profiles) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla profilów usługi Front Door i CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.cdn/profiles) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla profilów usługi Front Door i cdN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.network/frontdoors) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla profilów usługi Front Door i cdN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.network/frontdoors) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla profilów usługi Front Door i CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.network/frontdoors) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla profilów usługi Front Door i CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji funkcji (microsoft.web/sites) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla aplikacji funkcji (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla puli hostów (microsoft.desktopvirtualization/hostpools) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla puli hostów usługi Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul hostów (microsoft.desktopvirtualization/hostpools) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pul hostów (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul hostów (microsoft.desktopvirtualization/hostpools) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pul hostów (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul hostów (microsoft.desktopvirtualization/hostpools) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pul hostów (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pamięci podręcznych HPC (microsoft.storagecache/caches) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pamięci podręcznych HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont integracji (microsoft.logic/integrationaccounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla kont integracji (microsoft.logic/integrationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont integracji (microsoft.logic/integrationaccounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla kont integracji (microsoft.logic/integrationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont integracji (microsoft.logic/integrationaccounts) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla kont integracji (microsoft.logic/integrationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi IoT Hub (microsoft.devices/iothubs) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi IoT Hub (microsoft.devices/iothubs) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi IoT Hub (microsoft.devices/iothubs) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla magazynów kluczy (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla magazynów kluczy (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla magazynów kluczy (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla wydarzeń na żywo (microsoft.media/mediaservices/liveevents) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń na żywo (microsoft.media/mediaservices/liveevents). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla wydarzeń na żywo (microsoft.media/mediaservices/liveevents) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla wydarzeń na żywo (microsoft.media/mediaservices/liveevents). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla wydarzeń na żywo (microsoft.media/mediaservices/liveevents) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu na potrzeby wydarzeń na żywo (microsoft.media/mediaservices/liveevents). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów równoważenia obciążenia (microsoft.network/loadbalancers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla modułów równoważenia obciążenia (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów równoważenia obciążenia (microsoft.network/loadbalancers) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla modułów równoważenia obciążenia (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów równoważenia obciążenia (microsoft.network/loadbalancers) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla modułów równoważenia obciążenia (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych usługi Log Analytics (microsoft.operationalinsights/workspaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych usługi Log Analytics (microsoft.operationalinsights/workspaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla obszarów roboczych usługi Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych usługi Log Analytics (microsoft.operationalinsights/workspaces) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla obszarów roboczych usługi Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji logiki (microsoft.logic/workflows) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla aplikacji logiki (microsoft.logic/workflows). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji logiki (microsoft.logic/workflows) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla aplikacji logiki (microsoft.logic/workflows). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji logiki (microsoft.logic/workflows) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla aplikacji logiki (microsoft.logic/workflows). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych aplikacji CCF (microsoft.confidentialledger/managedccfs) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla zarządzanych aplikacji CCF (microsoft.confidentialledger/managedccfs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych aplikacji CCF (microsoft.confidentialledger/managedccfs) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zarządzanych aplikacji CCF (microsoft.confidentialledger/managedccfs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych aplikacji CCF (microsoft.confidentialledger/managedccfs) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zarządzanych aplikacji CCF (microsoft.confidentialledger/managedccfs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych baz danych (microsoft.sql/managedinstances/databases) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla zarządzanych baz danych (microsoft.sql/managedinstances/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych baz danych (microsoft.sql/managedinstances/databases) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zarządzanych baz danych (microsoft.sql/managedinstances/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych baz danych (microsoft.sql/managedinstances/databases) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zarządzanych baz danych (microsoft.sql/managedinstances/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Media Services (microsoft.media/mediaservices) w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Media Services (microsoft.media/mediaservices) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Media Services (microsoft.media/mediaservices) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi MedTech (microsoft.healthcareapis/workspaces/iotconnectors) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do usługi Event Hub for MedTech (microsoft.healthcareapis/workspaces/iotconnectors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi MedTech (microsoft.healthcareapis/workspaces/iotconnectors) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi MedTech (microsoft.healthcareapis/workspaces/iotconnectors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi MedTech (microsoft.healthcareapis/workspaces/iotconnectors) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi MedTech (microsoft.healthcareapis/workspaces/iotconnectors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Microsoft Purview (microsoft.purview/accounts) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla kont usługi Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Microsoft Purview (microsoft.purview/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla kont usługi Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla kont usługi Microsoft Purview (microsoft.purview/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla kont Usługi Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.autonomousdevelopmentplatform/workspaces do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.autonomousdevelopmentplatform/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.autonomousdevelopmentplatform/workspaces w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla elementu microsoft.autonomousdevelopmentplatform/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.autonomousdevelopmentplatform/workspaces w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.autonomousdevelopmentplatform/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.azuresphere/catalogs w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.azuresphere/catalogs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.azuresphere/catalogs w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla witryny microsoft.azuresphere/catalogs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.azuresphere/catalogs do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.azuresphere/catalogs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.cdn/cdnwebapplicationfirewallpolicies do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.cdn/cdnwebapplicationfirewallpolicies w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla elementu microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.cdn/cdnwebapplicationfirewallpolicies to Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla grupy microsoft.classicnetwork/networksecuritygroups do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.classicnetwork/networksecuritygroups. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla grupy microsoft.classicnetwork/networksecuritygroups w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla grupy microsoft.classicnetwork/networksecuritygroups. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla grupy microsoft.classicnetwork/networksecuritygroups do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.classicnetwork/networksecuritygroups. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.community/communitytrainings w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.community/communitytrainings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.community/communitytrainings w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla środowiska microsoft.community/communitytrainings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.community/communitytrainings w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.community/communitytrainings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.connectedcache/enterprisemcccustomers z centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.connectedcache/enterprisemcccustomers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.connectedcache/enterprisemcccustomers do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.connectedcache/enterprisemcccustomers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.connectedcache/enterprisemcccustomers do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.connectedcache/enterprisemcccustomers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.customproviders/resourceproviders do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.customproviders/resourceproviders. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.customproviders/resourceproviders do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.customproviders/resourceproviders. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.customproviders/resourceproviders do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.customproviders/resourceproviders. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.d365customerinsights/instances do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.d365customerinsights/instances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.d365customerinsights/instances w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.d365customerinsights/instances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Storage microsoft.d365customerinsights/instances | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.d365customerinsights/instances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbformysql/flexibleservers w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.dbformysql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbformysql/flexibleservers w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla serwerów microsoft.dbformysql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.dbformysql/flexibleservers w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.dbformysql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbforpostgresql/flexibleservers do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbforpostgresql/flexibleservers w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbforpostgresql/flexibleservers do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbforpostgresql/servergroupsv2 do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbforpostgresql/servergroupsv2 w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.dbforpostgresql/servergroupsv2 do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.dbforpostgresql/servers w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.dbforpostgresql/servers w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla bazy danych microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.dbforpostgresql/servers w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.devices/provisioningservices w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.devices/provisioningservices w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.devices/provisioningservices w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.documentdb/cassandraclusters w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.documentdb/cassandraclusters w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla programu microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.documentdb/cassandraclusters w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.documentdb/mongoclusters w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.documentdb/mongoclusters w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bazy danych microsoft.documentdb/mongoclusters w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla bazy danych microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.insights/autoscalesettings do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.insights/autoscalesettings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.insights/autoscalesettings w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla elementu microsoft.insights/autoscalesettings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.insights/autoscalesettings w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.insights/autoscalesettings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.machinelearningservices/registries do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.machinelearningservices/registries. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.machinelearningservices/registries w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.machinelearningservices/registries. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.machinelearningservices/registries w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.machinelearningservices/registries. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.machinelearningservices/workspaces/onlineendpoints do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.machinelearningservices/workspaces/onlineendpoints. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.machinelearningservices/workspaces/onlineendpoints w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla elementu microsoft.machinelearningservices/workspaces/onlineendpoints. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.machinelearningservices/workspaces/onlineendpoints do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.machinelearningservices/workspaces/onlineendpoints. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.managednetworkfabric/networkdevices w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.managednetworkfabric/networkdevices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.managednetworkfabric/networkdevices w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.managednetworkfabric/networkdevices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.managednetworkfabric/networkdevices w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.managednetworkfabric/networkdevices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/dnsresolverpolicies do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.network/dnsresolverpolicies w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.network/dnsresolverpolicies do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/networkmanagers/ipampools do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/networkmanagers/ipampools w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/networkmanagers/ipampools do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/networksecurityperimeters do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/networksecurityperimeters w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla parametrów microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/networksecurityperimeters do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/p2svpngateways do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla biblioteki microsoft.network/p2svpngateways w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla bram microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/p2svpngateways do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi microsoft.network/vpngateways w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi microsoft.network/vpngateways w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi microsoft.network/vpngateways w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.networkanalytics/dataproducts do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.networkanalytics/dataproducts w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.networkanalytics/dataproducts do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.networkcloud/baremetalmachines w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.networkcloud/baremetalmachines w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.networkcloud/baremetalmachines do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.networkcloud/clusters w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi microsoft.networkcloud/clusters w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.networkcloud/clusters do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.networkcloud/storageappliances w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji microsoft.networkcloud/storageappliances w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla aplikacji microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji microsoft.networkcloud/storageappliances w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.networkfunction/azuretrafficcollectors do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.networkfunction/azuretrafficcollectors w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.networkfunction/azuretrafficcollectors do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.notificationhubs/namespaces/notificationhubs do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.notificationhubs/namespaces/notificationhubs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.notificationhubs/namespaces/notificationhubs do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.notificationhubs/namespaces/notificationhubs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.notificationhubs/namespaces/notificationhubs do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.notificationhubs/namespaces/notificationhubs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.openserviceform/energyservices w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.openenerplatform/energyservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.openserviceform/energyservices w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla elementu microsoft.openservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementu microsoft.openserviceform/energyservices w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.openservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.powerbi/tenants/workspaces do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.powerbi/tenants/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Microsoft.powerbi/tenants/workspaces w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.powerbi/tenants/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Microsoft.powerbi/tenants/workspaces w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.powerbi/tenants/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.servicenetworking/trafficcontrollers do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.servicenetworking/trafficcontrollers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.servicenetworking/trafficcontrollers w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.servicenetworking/trafficcontrollers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.servicenetworking/trafficcontrollers do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.servicenetworking/trafficcontrollers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi microsoft.synapse/workspaces/kustopools do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Microsoft.synapse/workspaces/kustopools w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi microsoft.synapse/workspaces/kustopools do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.timeseriesinsights/environments do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.timeseriesinsights/environments. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.timeseriesinsights/environments w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla środowiska microsoft.timeseriesinsights/environments. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.timeseriesinsights/environments w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.timeseriesinsights/environments. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.timeseriesinsights/environments/eventsources do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.timeseriesinsights/environments/eventsources. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.timeseriesinsights/environments/eventsources w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla elementu microsoft.timeseriesinsights/environments/eventsources. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.timeseriesinsights/environments/eventsources do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.timeseriesinsights/environments/eventsources. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.workloads/sapvirtualinstances w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.workloads/sapvirtualinstances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla elementów microsoft.workloads/sapvirtualinstances w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla plików microsoft.workloads/sapvirtualinstances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla plików microsoft.workloads/sapvirtualinstances w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.workloads/sapvirtualinstances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla menedżerów sieci (microsoft.network/networkmanagers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla menedżerów sieci (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla menedżerów sieci (microsoft.network/networkmanagers) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla menedżerów sieci (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla menedżerów sieci (microsoft.network/networkmanagers) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla menedżerów sieci (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla sieciowych grup zabezpieczeń (microsoft.network/networksecuritygroups) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla sieciowych grup zabezpieczeń (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla sieciowych grup zabezpieczeń (microsoft.network/networksecuritygroups) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla sieciowych grup zabezpieczeń (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla sieciowych grup zabezpieczeń (microsoft.network/networksecuritygroups) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla sieciowych grup zabezpieczeń (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw centrum powiadomień (microsoft.notificationhubs/namespaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przestrzeni nazw centrum powiadomień (microsoft.notificationhubs/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw centrum powiadomień (microsoft.notificationhubs/namespaces) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla przestrzeni nazw centrum powiadomień (microsoft.notificationhubs/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw centrum powiadomień (microsoft.notificationhubs/namespaces) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przestrzeni nazw centrum powiadomień (microsoft.notificationhubs/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii na potrzeby testowania dramaturgowego (microsoft.azureplaywrightservice/accounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń do testowania dramaturgu (microsoft.azureplaywrightservice/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii na potrzeby testowania dramaturgowego (microsoft.azureplaywrightservice/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics na potrzeby testowania dramaturgowego (microsoft.azureplaywrightservice/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii na potrzeby testowania dramaturgowego (microsoft.azureplaywrightservice/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu na potrzeby testowania dramaturgowego (microsoft.azureplaywrightservice/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla serwera elastycznego PostgreSQL (microsoft.dbforpostgresql/flexibleservers) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla serwera elastycznego usługi Azure Database for PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Power BI Embedded (microsoft.powerbidedicated/pojemności) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Power BI Embedded (microsoft.powerbidedicated/pojemności). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Power BI Embedded (microsoft.powerbidedicated/pojemności) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Power BI Embedded (microsoft.powerbidedicated/pojemności). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Power BI Embedded (microsoft.powerbidedicated/pojemności) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Power BI Embedded (microsoft.powerbidedicated/pojemności). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla publicznych adresów IP (microsoft.network/publicipaddresses) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla publicznych adresów IP (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla publicznych adresów IP (microsoft.network/publicipaddresses) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla publicznych adresów IP (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla publicznych adresów IP (microsoft.network/publicipaddresses) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla publicznych adresów IP (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla prefiksów publicznych adresów IP (microsoft.network/publicipprefixes) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla prefiksów publicznych adresów IP (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla prefiksów publicznych adresów IP (microsoft.network/publicipprefixes) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla prefiksów publicznego adresu IP (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla prefiksów publicznych adresów IP (microsoft.network/publicipprefixes) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla prefiksów publicznych adresów IP (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do magazynów usługi Event Hub for Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Relays (microsoft.relay/namespaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Relays (microsoft.relay/przestrzeni nazw). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Relays (microsoft.relay/przestrzeni nazw) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Relays (microsoft.relay/przestrzeni nazw). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Relays (microsoft.relay/przestrzeni nazw) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Relays (microsoft.relay/przestrzeni nazw). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla planów skalowania (microsoft.desktopvirtualization/scalingplans) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń na potrzeby planów skalowania (microsoft.desktopvirtualization/scalingplans). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla planów skalowania (microsoft.desktopvirtualization/scalingplans) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla planów skalowania (microsoft.desktopvirtualization/scalingplans). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włącz rejestrowanie według grupy kategorii dla planów skalowania (microsoft.desktopvirtualization/scalingplans) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu na potrzeby planów skalowania (microsoft.desktopvirtualization/scalingplans). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pul ZAKRES (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla pul ZAKRES (microsoft.synapse/workspaces/scopepools) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługa wyszukiwania s (microsoft.search/searchservices) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługa wyszukiwania s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługa wyszukiwania s (microsoft.search/searchservices) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługa wyszukiwania s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługa wyszukiwania s (microsoft.search/searchservices) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługa wyszukiwania s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/przestrzeni nazw) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi SignalR (microsoft.signalrservice/signalr) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi SignalR (microsoft.signalrservice/signalr) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi SignalR (microsoft.signalrservice/signalr) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla baz danych SQL (microsoft.sql/serwerów/baz danych) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla baz danych SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla baz danych SQL (microsoft.sql/serwerów/baz danych) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla baz danych SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla baz danych SQL (microsoft.sql/serwerów/baz danych) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla baz danych SQL (microsoft.sql/serwerów/baz danych). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla wystąpień zarządzanych SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów przenoszenia magazynu (microsoft.storagemover/storagemovers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla modułów przenoszenia magazynu (microsoft.storagemover/storagemovers) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla przenoszenia magazynu (microsoft.storagemover/storagemovers) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przenoszenia magazynu (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zadań usługi Stream Analytics (microsoft.streamanalytics/streamingjobs) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla zadań usługi Stream Analytics (microsoft.streamanalytics/streamingjobs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zadań usługi Stream Analytics (microsoft.streamanalytics/streamingjobs) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zadań usługi Stream Analytics (microsoft.streamanalytics/streamingjobs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zadań usługi Stream Analytics (microsoft.streamanalytics/streamingjobs) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zadań usługi Stream Analytics (microsoft.streamanalytics/streamingjobs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla punktów końcowych przesyłania strumieniowego (microsoft.media/mediaservices/streamingendpoints) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla punktów końcowych przesyłania strumieniowego (microsoft.media/mediaservices/streamingendpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla punktów końcowych przesyłania strumieniowego (microsoft.media/mediaservices/streamingendpoints) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla punktów końcowych przesyłania strumieniowego (microsoft.media/mediaservices/streamingendpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla punktów końcowych przesyłania strumieniowego (microsoft.media/mediaservices/streamingendpoints) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla punktów końcowych przesyłania strumieniowego (microsoft.media/mediaservices/streamingendpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Traffic Manager (microsoft.network/trafficmanagerprofiles) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla profilów usługi Traffic Manager (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Traffic Manager (microsoft.network/trafficmanagerprofiles) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla profilów usługi Traffic Manager (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Traffic Manager (microsoft.network/trafficmanagerprofiles) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla profilów usługi Traffic Manager (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla analizatorów wideo (microsoft.media/videoanalyzers) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla analizatorów wideo (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla analizatorów wideo (microsoft.media/videoanalyzers) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Video Analyzers (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla analizatorów wideo (microsoft.media/videoanalyzers) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla analizatorów wideo (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla sieci wirtualnych (microsoft.network/virtualnetworks) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla sieci wirtualnych (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla sieci wirtualnych (microsoft.network/virtualnetworks) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla sieci wirtualnych (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla sieci wirtualnych (microsoft.network/virtualnetworks) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla sieci wirtualnych (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla woluminów (microsoft.netapp/netappaccounts/capacitypools/volumes) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla woluminów (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla woluminów (microsoft.netapp/netappaccounts/capacitypools/volumes) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla woluminów (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla woluminów (microsoft.netapp/netappaccounts/capacitypools/volumes) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla woluminów (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Web PubSub Service (microsoft.signalrservice/webpubsub) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Web PubSub Service (microsoft.signalrservice/webpubsub) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Web PubSub Service (microsoft.signalrservice/webpubsub) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla obszaru roboczego (microsoft.desktopvirtualization/workspaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla obszaru roboczego usługi Azure Virtual Desktop (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych (microsoft.desktopvirtualization/workspaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla obszarów roboczych (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych (microsoft.desktopvirtualization/workspaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla obszarów roboczych (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla obszarów roboczych (microsoft.desktopvirtualization/workspaces) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla obszarów roboczych (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Na maszynach z obsługą usługi Linux Arc powinien być zainstalowany agent usługi Azure Monitor | Maszyny z obsługą usługi Linux Arc powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady przeprowadźą inspekcję maszyn z obsługą usługi Arc w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Zestawy skalowania maszyn wirtualnych z systemem Linux powinny mieć zainstalowanego agenta usługi Azure Monitor | Zestawy skalowania maszyn wirtualnych z systemem Linux powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady będą przeprowadzać inspekcję zestawów skalowania maszyn wirtualnych przy użyciu obsługiwanych obrazów systemu operacyjnego w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Maszyny wirtualne z systemem Linux powinny mieć zainstalowanego agenta usługi Azure Monitor | Maszyny wirtualne z systemem Linux powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady będą przeprowadzać inspekcję maszyn wirtualnych z obsługiwanymi obrazami systemu operacyjnego w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
| Obszary robocze usługi Log Analytics powinny blokować pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych | Zwiększ bezpieczeństwo obszaru roboczego, blokując pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych. Tylko sieci połączone za pomocą łącza prywatnego będą mogły pozyskiwać dzienniki i wykonywać zapytania w tym obszarze roboczym. Dowiedz się więcej na https://aka.ms/AzMonPrivateLink#configure-log-analytics. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Obszary robocze usługi Log Analytics powinny blokować pozyskiwanie danych spoza usługi Azure Active Directory. | Wymuszanie pozyskiwania dzienników w celu wymagania uwierzytelniania usługi Azure Active Directory uniemożliwia osobie atakującej nieuwierzytelnione dzienniki, co może prowadzić do nieprawidłowego stanu, fałszywych alertów i nieprawidłowych dzienników przechowywanych w systemie. | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Publiczne adresy IP powinny mieć włączone dzienniki zasobów dla usługi Azure DDoS Protection | Włącz dzienniki zasobów dla publicznych adresów IP w ustawieniach diagnostycznych, aby przesyłać strumieniowo do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w ruch ataków i akcje podejmowane w celu wyeliminowania ataków DDoS za pośrednictwem powiadomień, raportów i dzienników przepływu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Dzienniki zasobów powinny być włączone dla inspekcji obsługiwanych zasobów | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Istnienie ustawienia diagnostycznego dla grupy kategorii Inspekcja dla wybranych typów zasobów gwarantuje, że te dzienniki są włączone i przechwytywane. Odpowiednie typy zasobów to te, które obsługują grupę kategorii "Inspekcja". | AuditIfNotExists, Disabled | 1.0.0 |
| Zapisane zapytania w usłudze Azure Monitor powinny być zapisywane na koncie magazynu klienta na potrzeby szyfrowania dzienników | Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK | Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na serwerach z systemem Linux z obsługą usługi Azure Arc | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta na serwerach z systemem Linux z obsługą usługi Azure Arc. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na serwerach z systemem Windows z obsługą usługi Azure Arc | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta na serwerach z systemem Windows z obsługą usługi Azure Arc. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Linux | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą odrzucać wszystkie przyszłe instalacje starszego rozszerzenia agenta w zestawach skalowania maszyn wirtualnych z systemem Linux. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na maszynach wirtualnych z systemem Linux | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą odrzucać wszystkie przyszłe instalacje starszego rozszerzenia agenta na maszynach wirtualnych z systemem Linux. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta w zestawach skalowania maszyn wirtualnych z systemem Windows. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na maszynach wirtualnych | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta na maszynach wirtualnych z systemem Windows. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Te zasady przeprowadzają inspekcję wszystkich zestawów skalowania maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1 |
| Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | Zgłasza maszyny wirtualne jako niezgodne, jeśli nie są rejestrowane w obszarze roboczym usługi Log Analytics określonym w przypisaniu zasad/inicjatywy. | AuditIfNotExists, Disabled | 1.1.0 |
| Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1 |
| Maszyny z obsługą usługi Windows Arc powinny mieć zainstalowanego agenta usługi Azure Monitor | Maszyny z obsługą usługi Windows Arc powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Maszyny z obsługą usługi Windows Arc w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Zestawy skalowania maszyn wirtualnych z systemem Windows powinny mieć zainstalowanego agenta usługi Azure Monitor | Zestawy skalowania maszyn wirtualnych z systemem Windows powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Zestawy skalowania maszyn wirtualnych z obsługiwanym systemem operacyjnym i w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Na maszynach wirtualnych z systemem Windows powinien być zainstalowany agent usługi Azure Monitor | Maszyny wirtualne z systemem Windows powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Maszyny wirtualne z systemem Windows z obsługiwanym systemem operacyjnym i w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Skoroszyty powinny być zapisywane na kontach magazynu, które kontrolujesz | W przypadku funkcji bring your own storage (BYOS) skoroszyty są przekazywane do konta magazynu, które kontrolujesz. Oznacza to, że kontrolujesz zasady szyfrowania w spoczynku, zasady zarządzania okresem istnienia i dostęp do sieci. Użytkownik będzie jednak odpowiedzialny za koszty związane z tym kontem magazynu. Aby uzyskać więcej informacji, zobacz https://aka.ms/workbooksByos | odmowa, odmowa, inspekcja, inspekcja, wyłączona, wyłączona | 1.1.0 |
Sieć
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: Usługa Container Registry powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady przeprowadzają inspekcję dowolnego rejestru kontenerów, który nie jest skonfigurowany do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0-preview |
| Niestandardowe zasady protokołu IPsec/IKE muszą być stosowane do wszystkich połączeń bramy sieci wirtualnej platformy Azure | Te zasady zapewniają, że wszystkie połączenia bramy sieci wirtualnej platformy Azure używają niestandardowych zasad zabezpieczeń protokołu internetowego (Ipsec)/Internet Key Exchange(IKE). Obsługiwane algorytmy i mocne strony klucza — https://aka.ms/AA62kb0 | Inspekcja, wyłączone | 1.0.0 |
| Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | Przeprowadź inspekcję zasobów dziennika przepływu, aby sprawdzić, czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o przepływie ruchu IP. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Aplikacje usługi App Service powinny używać punktu końcowego usługi sieci wirtualnej | Użyj punktów końcowych usługi sieci wirtualnej, aby ograniczyć dostęp do aplikacji z wybranych podsieci z sieci wirtualnej platformy Azure. Aby dowiedzieć się więcej o punktach końcowych usługi App Service, odwiedź stronę https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja konfiguracji dzienników przepływu dla każdej sieci wirtualnej | Przeprowadź inspekcję dla sieci wirtualnej, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieć wirtualną. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| aplikacja systemu Azure Gateway należy wdrożyć za pomocą zapory aplikacji internetowej platformy Azure | Wymaga aplikacja systemu Azure zasobów bramy do wdrożenia za pomocą zapory aplikacji internetowej platformy Azure. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasady zapory platformy Azure powinny włączyć inspekcję protokołu TLS w regułach aplikacji | Włączenie inspekcji protokołu TLS jest zalecane dla wszystkich reguł aplikacji w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w protokole HTTPS. Aby dowiedzieć się więcej na temat inspekcji protokołu TLS za pomocą usługi Azure Firewall, odwiedź stronę https://aka.ms/fw-tlsinspect | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Firewall Premium powinna skonfigurować prawidłowy certyfikat pośredni, aby umożliwić inspekcję protokołu TLS | Skonfiguruj prawidłowy certyfikat pośredni i włącz inspekcję protokołu TLS usługi Azure Firewall w warstwie Premium w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w protokole HTTPS. Aby dowiedzieć się więcej na temat inspekcji protokołu TLS za pomocą usługi Azure Firewall, odwiedź stronę https://aka.ms/fw-tlsinspect | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bramy sieci VPN platformy Azure nie powinny używać jednostki SKU "podstawowa" | Te zasady zapewniają, że bramy sieci VPN nie używają jednostki SKU "podstawowa". | Inspekcja, wyłączone | 1.0.0 |
| Zapora aplikacji internetowej platformy Azure w usłudze aplikacja systemu Azure Gateway powinna mieć włączoną inspekcję treści żądania | Upewnij się, że zapory aplikacji internetowej skojarzone z bramami aplikacja systemu Azure mają włączoną inspekcję treści żądania. Dzięki temu zapora aplikacji internetowej może sprawdzać właściwości w treści protokołu HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Web Application Firewall w usłudze Azure Front Door powinna mieć włączoną inspekcję treści żądania | Upewnij się, że zapory aplikacji internetowej skojarzone z usługą Azure Front Door mają włączoną inspekcję treści żądań. Dzięki temu zapora aplikacji internetowej może sprawdzać właściwości w treści protokołu HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Ochrona bota powinna być włączona dla zapory aplikacji internetowej bramy aplikacja systemu Azure | Te zasady zapewniają, że ochrona botów jest włączona we wszystkich zasadach zapory aplikacji internetowej (WAF) usługi aplikacja systemu Azure Gateway | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona bota powinna być włączona dla zapory aplikacji internetowej usługi Azure Front Door | Te zasady zapewniają, że ochrona botów jest włączona we wszystkich zasadach zapory aplikacji internetowej usługi Azure Front Door (WAF) | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Lista pomijania systemu wykrywania i zapobiegania włamaniom (IDPS) powinna być pusta w zasadach zapory Premium | Lista obejść systemu wykrywania i zapobiegania włamaniom (IDPS) pozwala nie filtrować ruchu do żadnego z adresów IP, zakresów i podsieci określonych na liście obejścia. Włączenie dostawcy tożsamości jest jednak ponownie zalecane dla wszystkich przepływów ruchu w celu lepszego identyfikowania znanych zagrożeń. Aby dowiedzieć się więcej na temat sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) za pomocą usługi Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-idps-signature | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla sieciowych grup zabezpieczeń platformy Azure w obszarze roboczym usługi Log Analytics | Wdróż ustawienia diagnostyczne w sieciowych grupach zabezpieczeń platformy Azure, aby przesyłać strumieniowo dzienniki zasobów do obszaru roboczego usługi Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie sieciowych grup zabezpieczeń w celu włączenia analizy ruchu | Analizę ruchu można włączyć dla wszystkich sieciowych grup zabezpieczeń hostowanych w określonym regionie z ustawieniami podanymi podczas tworzenia zasad. Jeśli ma już włączoną analizę ruchu, zasady nie zastępują ustawień. Dzienniki przepływu są również włączone dla sieciowych grup zabezpieczeń, które ich nie mają. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie sieciowych grup zabezpieczeń do korzystania z określonego obszaru roboczego, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu | Jeśli analiza ruchu jest już włączona, zasady zastąpią istniejące ustawienia ustawieniami podanymi podczas tworzenia zasad. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie sieci wirtualnej w celu włączenia usługi Flow Log and Traffic Analytics | Analizy ruchu i dzienniki usługi Flow można włączyć dla wszystkich sieci wirtualnych hostowanych w określonym regionie z ustawieniami podanymi podczas tworzenia zasad. Te zasady nie zastępują bieżącego ustawienia dla sieci wirtualnych, które mają już włączoną tę funkcję. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.1.1 |
| Konfigurowanie sieci wirtualnych w celu wymuszania obszaru roboczego, konta magazynu i interwału przechowywania dzienników usługi Flow i analizy ruchu | Jeśli sieć wirtualna ma już włączoną analizę ruchu, te zasady zastąpią istniejące ustawienia ustawieniami podanymi podczas tworzenia zasad. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.1.2 |
| Usługa Cosmos DB powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadna usługa Cosmos DB nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Wdrażanie zasobu dziennika przepływu z docelową sieciową grupą zabezpieczeń | Konfiguruje dziennik przepływu dla określonej sieciowej grupy zabezpieczeń. Umożliwi to rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Dziennik przepływu pomaga zidentyfikować nieznany lub niepożądany ruch, zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa, analizować przepływy sieciowe z naruszonych adresów IP i interfejsów sieciowych. | deployIfNotExists | 1.1.0 |
| Wdrażanie zasobu dziennika przepływu z docelową siecią wirtualną | Konfiguruje dziennik przepływu dla określonej sieci wirtualnej. Umożliwi to rejestrowanie informacji o ruchu IP przepływającym przez sieć wirtualną. Dziennik przepływu pomaga zidentyfikować nieznany lub niepożądany ruch, zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa, analizować przepływy sieciowe z naruszonych adresów IP i interfejsów sieciowych. | DeployIfNotExists, Disabled | 1.1.1 |
| Wdrażanie usługi Network Watcher podczas tworzenia sieci wirtualnych | Te zasady tworzą zasób usługi Network Watcher w regionach z sieciami wirtualnymi. Należy upewnić się, że istnieje grupa zasobów o nazwie networkWatcherRG, która będzie używana do wdrażania wystąpień usługi Network Watcher. | DeployIfNotExists | 1.0.0 |
| Włączanie reguły limitu szybkości w celu ochrony przed atakami DDoS w zaporze aplikacji internetowej usługi Azure Front Door | Reguła limitu szybkości usługi Azure Web Application Firewall (WAF) dla usługi Azure Front Door kontroluje liczbę żądań dozwolonych z określonego adresu IP klienta do aplikacji w czasie trwania limitu szybkości. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Centrum zdarzeń powinno używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne centrum zdarzeń nie jest skonfigurowane do korzystania z punktu końcowego usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Zasady zapory — wersja Premium powinna włączyć wszystkie reguły sygnatur IDPS w celu monitorowania wszystkich przepływów ruchu przychodzącego i wychodzącego | Włączenie wszystkich reguł sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) jest ponownie zalecane, aby lepiej zidentyfikować znane zagrożenia w przepływach ruchu. Aby dowiedzieć się więcej na temat sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) za pomocą usługi Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-idps-signature | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasady zapory Premium powinny włączyć system wykrywania i zapobiegania włamaniom (IDPS) | Włączenie systemu wykrywania i zapobiegania włamaniom (IDPS) umożliwia monitorowanie sieci pod kątem złośliwych działań, rejestrowanie informacji o tym działaniu, zgłaszanie go i opcjonalne próby jego zablokowania. Aby dowiedzieć się więcej na temat systemu wykrywania i zapobiegania włamaniom (IDPS) przy użyciu usługi Azure Firewall — wersja Premium, odwiedź stronę https://aka.ms/fw-idps | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.1.0 |
| Podsieci bramy nie powinny być skonfigurowane z sieciową grupą zabezpieczeń | Te zasady nie zezwalają na skonfigurowanie podsieci bramy z sieciową grupą zabezpieczeń. Przypisanie sieciowej grupy zabezpieczeń do podsieci bramy spowoduje, że brama przestanie działać. | odmowa | 1.0.0 |
| Usługa Key Vault powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy usługa Key Vault nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Migrowanie zapory aplikacji internetowej z konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej w usłudze Application Gateway | Jeśli masz konfigurację zapory aplikacji internetowej zamiast zasad zapory aplikacji internetowej, możesz przejść do nowych zasad zapory aplikacji internetowej. W przyszłości zasady zapory będą obsługiwać ustawienia zasad zapory aplikacji internetowej, zarządzane zestawy reguł, wykluczenia i wyłączone grupy reguł. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Interfejsy sieciowe powinny wyłączyć przekazywanie adresów IP | Te zasady odrzucają interfejsy sieciowe, które włączyły przekazywanie adresów IP. Ustawienie przekazywania adresów IP wyłącza sprawdzanie źródła i miejsca docelowego dla interfejsu sieciowego platformy Azure. Powinno to zostać przejrzyone przez zespół ds. zabezpieczeń sieci. | odmowa | 1.0.0 |
| Interfejsy sieciowe nie powinny mieć publicznych adresów IP | Te zasady odrzucają interfejsy sieciowe skonfigurowane przy użyciu dowolnego publicznego adresu IP. Publiczne adresy IP umożliwiają zasobom internetowym komunikowanie się w ramach ruchu przychodzącego z zasobami platformy Azure, a zasobom platformy Azure komunikowanie się w ramach ruchu wychodzącego z Internetem. Powinno to zostać przejrzyone przez zespół ds. zabezpieczeń sieci. | odmowa | 1.0.0 |
| Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu | Analiza ruchu analizuje dzienniki przepływów, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Może służyć do wizualizowania aktywności sieci w ramach subskrypcji platformy Azure i identyfikowania punktów aktywnych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu, wskazywania błędów konfiguracji sieci i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Program SQL Server powinien używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żaden program SQL Server nie jest skonfigurowany do używania punktu końcowego usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne konto magazynu nie zostało skonfigurowane do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Subskrypcja powinna skonfigurować usługę Azure Firewall Premium w celu zapewnienia dodatkowej warstwy ochrony | Usługa Azure Firewall Premium zapewnia zaawansowaną ochronę przed zagrożeniami, która spełnia potrzeby wysoce wrażliwych i regulowanych środowisk. Wdróż usługę Azure Firewall Premium w ramach subskrypcji i upewnij się, że cały ruch usługi jest chroniony przez usługę Azure Firewall Premium. Aby dowiedzieć się więcej o usłudze Azure Firewall — wersja Premium, odwiedź stronę https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | Te zasady przeprowadzają inspekcję każdej maszyny wirtualnej połączonej z siecią wirtualną, która nie jest zatwierdzona. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Sieci wirtualne powinny być chronione przez usługę Azure DDoS Protection | Ochrona sieci wirtualnych przed atakami woluminowymi i protokołami za pomocą usługi Azure DDoS Protection. Aby uzyskać więcej informacji, zobacz https://aka.ms/ddosprotectiondocs. | Modyfikowanie, inspekcja, wyłączone | 1.0.1 |
| Sieci wirtualne powinny używać określonej bramy sieci wirtualnej | Te zasady przeprowadzają inspekcję dowolnej sieci wirtualnej, jeśli trasa domyślna nie wskazuje określonej bramy sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Bramy sieci VPN powinny używać tylko uwierzytelniania usługi Azure Active Directory (Azure AD) dla użytkowników punkt-lokacja | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że bramy sieci VPN używają tylko tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej o uwierzytelnianiu w usłudze Azure AD pod adresem https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Zapora aplikacji internetowej powinna włączyć wszystkie reguły zapory dla usługi Application Gateway | Włączenie wszystkich reguł zapory aplikacji internetowej zwiększa bezpieczeństwo aplikacji i chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach. Aby dowiedzieć się więcej o zaporze aplikacji internetowej w usłudze Application Gateway, odwiedź stronę https://aka.ms/waf-ag | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | Nakazuje używanie trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Application Gateway. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | Nakazuje korzystanie z trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Azure Front Door Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Portal
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Udostępnione pulpity nawigacyjne nie powinny mieć kafelków markdown z zawartością śródliniową | Nie zezwalaj na tworzenie udostępnionego pulpitu nawigacyjnego z zawartością śródliniową na kafelkach markdown i wymuszanie przechowywania zawartości jako pliku markdown hostowanego w trybie online. Jeśli używasz zawartości wbudowanej na kafelku markdown, nie możesz zarządzać szyfrowaniem zawartości. Konfigurując własny magazyn, można szyfrować, szyfrować dwukrotnie, a nawet wprowadzać własne klucze. Włączenie tych zasad ogranicza użytkownikom możliwość korzystania z interfejsu API REST pulpitów nawigacyjnych w wersji 2020-09-01-preview lub nowszej. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Odporność
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Usługa API Management powinna być strefowo nadmiarowa | Usługę API Management można skonfigurować jako strefowo nadmiarową lub nie. Usługa API Management jest strefowo nadmiarowa, jeśli jej nazwa jednostki SKU to "Premium" i ma co najmniej dwa wpisy w tablicy stref. Te zasady identyfikują usługi API Management, które nie mają nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Plany usługi App Service powinny być strefowo nadmiarowe | Plany usługi App Service można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Gdy właściwość "zoneRedundant" jest ustawiona na wartość "false" dla planu usługi App Service, nie jest skonfigurowana dla nadmiarowości strefy. Te zasady identyfikują i wymuszają konfigurację nadmiarowości strefy dla planów usługi App Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Bramy aplikacji powinny być odporne na strefy | Bramy aplikacji można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Application Gatewaysmthat havenexactly jeden wpis w tablicy stref są traktowane jako Wyrównane strefy. Z kolei funkcja Application Gatmways z 3 lub większą większa większa liczba wpisów w tablicy stref jest rozpoznawana jako strefowo nadmiarowa. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa azure AI Search powinna być strefowo nadmiarowa | Usługę Azure AI Search można skonfigurować tak, aby mogła być strefowo nadmiarowa lub nie. Strefy dostępności są używane podczas dodawania co najmniej dwóch replik do usługi wyszukiwania. Każda replika jest umieszczana w innej strefie dostępności w regionie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Azure Cache for Redis Enterprise i Flash powinna być strefowo nadmiarowa | Usługę Azure Cache for Redis Enterprise i Flash można skonfigurować jako strefowo nadmiarową lub nie. Wystąpienia usługi Azure Cache for Redis Enterprise i Flash z mniej niż 3 wpisami w tablicy stref nie są strefowo nadmiarowe. Te zasady identyfikują wystąpienia usługi Azure Cache for Redis Enterprise i Flash bez nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Azure Cache for Redis powinna być strefowo nadmiarowa | Usługę Azure Cache for Redis można skonfigurować jako strefowo nadmiarową lub nie. Wystąpienia usługi Azure Cache for Redis z mniej niż 2 wpisami w tablicy stref nie są strefowo nadmiarowe. Te zasady identyfikują wystąpienia usługi Azure Cache for Redis bez nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Klastry usługi Azure Data Explorer powinny być strefowo nadmiarowe | Klastry usługi Azure Data Explorer można skonfigurować jako strefowo nadmiarowe lub nie. Klaster usługi Azure Data Explorer jest uznawany za strefowo nadmiarowy, jeśli ma co najmniej dwa wpisy w tablicy stref. Te zasady pomagają zapewnić, że klastry usługi Azure Data Explorer są strefowo nadmiarowe. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Serwer elastyczny usługi Azure Database for MySQL powinien być odporny na strefy | Serwer elastyczny usługi Azure Database for MySQL można skonfigurować tak, aby był wyrównany do strefy, strefowo nadmiarowy lub nie. Serwer MySQL, który ma serwer rezerwowy wybrany w tej samej strefie pod kątem wysokiej dostępności, jest uznawany za wyrównany do strefy. Natomiast serwer MySQL, który ma serwer rezerwowy wybrany do innej strefy w celu zapewnienia wysokiej dostępności, jest rozpoznawany jako strefowo nadmiarowy. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Serwer elastyczny usługi Azure Database for PostgreSQL powinien być odporny na strefy | Serwer elastyczny usługi Azure Database for PostgreSQL można skonfigurować tak, aby był wyrównany do strefy, strefowo nadmiarowy lub nie. Serwer PostgreSQL, który ma serwer rezerwowy wybrany w tej samej strefie pod kątem wysokiej dostępności, jest uznawany za wyrównany do strefy. Natomiast serwer PostgreSQL, który ma serwer rezerwowy wybrany do innej strefy w celu zapewnienia wysokiej dostępności, jest rozpoznawany jako strefowo nadmiarowy. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Azure HDInsight powinna być wyrównana do strefy | Usługę Azure HDInsight można skonfigurować tak, aby był wyrównany do strefy. Usługa Azure HDInsight, która ma dokładnie jeden wpis w tablicy stref, jest traktowana jako Wyrównana strefa. Te zasady zapewniają skonfigurowanie klastra usługi Azure HDInsight do działania w jednej strefie dostępności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Klastry zarządzane usługi Azure Kubernetes Service powinny być strefowo nadmiarowe | Klastry zarządzane usługi Azure Kubernetes Service można skonfigurować jako strefowo nadmiarowe lub nie. Zasady sprawdzają pule węzłów w klastrze i zapewniają, że wszystkie pule węzłów są ustawione dla wszystkich pul węzłów. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Azure Managed Grafana powinna być strefowo nadmiarowa | Narzędzie Azure Managed Grafana można skonfigurować tak, aby było strefowo nadmiarowe lub nie. Wystąpienie zarządzane przez platformę Azure Grafana jest strefowo nadmiarowe— właściwość "zoneRedundancy" jest ustawiona na wartość "Włączone". Wymuszanie tych zasad pomaga zagwarantować, że zarządzana platforma Azure Grafana jest odpowiednio skonfigurowana pod kątem odporności strefy, co zmniejsza ryzyko przestoju podczas przestojów w strefie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Tworzenie kopii zapasowych i odzyskiwanie lokacji powinno być strefowo nadmiarowe | Kopie zapasowe i usługi Site Recovery można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Tworzenie kopii zapasowych i usługa Site Recovery jest strefowo nadmiarowa, jeśli właściwość "standardTierStorageRedundancy" jest ustawiona na wartość "ZoneRedundant". Wymuszanie tych zasad pomaga zapewnić, że usługa Backup i Site Recovery są odpowiednio skonfigurowane pod kątem odporności strefy, co zmniejsza ryzyko przestoju podczas przestojów w strefie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny kopii zapasowych powinny być strefowo nadmiarowe | Magazyny kopii zapasowych można skonfigurować jako strefowo nadmiarowe lub nie. Magazyny kopii zapasowych są strefowo nadmiarowe, jeśli typ ustawień magazynu jest ustawiony na wartość "ZoneRedundant" i są uważane za odporne. Magazyny kopii zapasowych geograficznie nadmiarowych lub lokalnie nadmiarowych nie są uważane za odporne. Wymuszanie tych zasad pomaga zagwarantować, że magazyny kopii zapasowych są odpowiednio skonfigurowane pod kątem odporności strefy, co zmniejsza ryzyko przestoju podczas przestojów w strefie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Aplikacja kontenera powinna być strefowo nadmiarowa | Aplikację kontenera można skonfigurować jako strefowo nadmiarową lub nie. Aplikacja kontenera jest strefowo nadmiarowa, jeśli właściwość "ZoneRedundant" środowiska zarządzanego ma wartość true. Te zasady identyfikują aplikację kontenera bez nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Wystąpienia kontenerów powinny być wyrównane do strefy | Wystąpienia kontenera można skonfigurować tak, aby były wyrównane do strefy. Są one traktowane jako Wyrównane strefy, jeśli mają tylko jeden wpis w tablicy stref. Te zasady zapewniają, że są skonfigurowane do działania w jednej strefie dostępności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Rejestr kontenerów powinien być strefowo nadmiarowy | Usługę Container Registry można skonfigurować tak, aby był strefowo nadmiarowy. Gdy właściwość zoneRedundancy dla rejestru kontenerów jest ustawiona na wartość "Wyłączone", oznacza to, że rejestr nie jest strefowo nadmiarowy. Wymuszanie tych zasad pomaga zagwarantować, że usługa Container Registry jest odpowiednio skonfigurowana pod kątem odporności strefy, co zmniejsza ryzyko przestoju podczas przestojów w strefie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konta bazy danych usługi Cosmos powinny być strefowo nadmiarowe | Konta bazy danych usługi Cosmos można skonfigurować tak, aby było strefowo nadmiarowe lub nie. Jeśli właściwość "enableMultipleWriteLocations" ma wartość "true", wszystkie lokalizacje muszą mieć właściwość "isZoneRedundant" i musi być ustawiona na wartość "true". Jeśli właściwość "enableMultipleWriteLocations" jest ustawiona na wartość "false", lokalizacja podstawowa ("failoverPriority" ustawiona na wartość 0) musi mieć właściwość "isZoneRedundant" i musi być ustawiona na wartość "true". Wymuszanie tych zasad gwarantuje, że konta bazy danych usługi Cosmos są odpowiednio skonfigurowane pod kątem nadmiarowości strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Event Hubs powinna być strefowo nadmiarowa | Usługę Event Hubs można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Usługa Event Hubs jest strefowo nadmiarowa, jeśli właściwość "zoneRedundant" jest ustawiona na wartość "true". Wymuszanie tych zasad pomaga zagwarantować, że usługa Event Hubs jest odpowiednio skonfigurowana pod kątem odporności strefy, co zmniejsza ryzyko przestojów podczas przestojów w strefie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Zapory powinny być odporne na strefy | Zapory można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Zapory, które mają dokładnie jeden wpis w tablicy stref, są traktowane jako Wyrównane strefy. Z kolei zapory z co najmniej 3 wpisami w tablicy stref są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Moduły równoważenia obciążenia powinny być odporne na strefy | Moduły równoważenia obciążenia z jednostkę SKU inną niż Podstawowa dziedziczą odporność publicznych adresów IP w frontonie. W połączeniu z zasadami "Publiczne adresy IP powinny być odporne na strefy", takie podejście zapewnia niezbędną nadmiarowość, aby wytrzymać awarię strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Dyski zarządzane powinna być odporna na strefy | Dyski zarządzane można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Dyski zarządzane z dokładnie jednym przypisaniem strefy są wyrównane do strefy. Dyski zarządzane z nazwą jednostki SKU kończącą się strefowo nadmiarowym magazynem ZRS. Te zasady pomagają zidentyfikować i wymusić te konfiguracje odporności dla Dyski zarządzane. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Brama translatora adresów sieciowych powinna być wyrównana do strefy | Bramę translatora adresów sieciowych można skonfigurować tak, aby był wyrównany do strefy. Brama translatora adresów sieciowych, która ma dokładnie jeden wpis w tablicy stref, jest uważana za wyrównaną strefę. Te zasady zapewniają skonfigurowanie bramy translatora adresów sieciowych do działania w jednej strefie dostępności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Publiczne adresy IP powinny być odporne na strefy | Publiczne adresy IP można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Publiczne adresy IP, które są regionalne, z dokładnie jednym wpisem w tablicy stref są traktowane jako Wyrównane strefy. Z kolei publiczne adresy IP, które są regionalne, z co najmniej 3 wpisami w tablicy stref są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.1.0-preview |
| [Wersja zapoznawcza]: Prefiksy publicznych adresów IP powinny być odporne na strefy | Prefiksy publicznych adresów IP można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Prefiksy publicznych adresów IP, które mają dokładnie jeden wpis w tablicy stref, są traktowane jako Wyrównane strefy. Natomiast prefiksy publicznych adresów IP z co najmniej 3 wpisami w tablicy stref są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: usługa Service Bus powinna być strefowo nadmiarowa | Usługę Service Bus można skonfigurować jako strefowo nadmiarową lub nie. Gdy właściwość "zoneRedundant" jest ustawiona na wartość "false" dla usługi Service Bus, oznacza to, że nie jest skonfigurowana dla nadmiarowości strefy. Te zasady identyfikują i wymuszają konfigurację nadmiarowości strefy dla wystąpień usługi Service Bus. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Klastry usługi Service Fabric powinny być strefowo nadmiarowe | Klastry usługi Service Fabric można skonfigurować jako strefowo nadmiarowe lub nie. Klastry Servicefabric, których właściwość nodeType nie ma dla parametru multipleAvailabilityZones ustawioną wartość true, nie są strefowo nadmiarowe. Te zasady identyfikują klastry Servicefabric bez nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Bazy danych SQL powinny być strefowo nadmiarowe | Bazy danych SQL można skonfigurować jako strefowo nadmiarowe lub nie. Bazy danych z ustawieniem "zoneRedundant" ustawionym na wartość "false" nie są skonfigurowane pod kątem nadmiarowości strefy. Te zasady pomagają zidentyfikować bazy danych SQL, które wymagają konfiguracji nadmiarowości strefy w celu zwiększenia dostępności i odporności na platformie Azure. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Pule elastycznych baz danych SQL powinny być strefowo nadmiarowe | Pule elastycznych baz danych SQL można skonfigurować jako strefowo nadmiarowe lub nie. Pule elastycznych baz danych SQL są strefowo nadmiarowe, jeśli właściwość "zoneRedundant" jest ustawiona na wartość "true". Wymuszanie tych zasad pomaga zagwarantować, że usługa Event Hubs jest odpowiednio skonfigurowana pod kątem odporności strefy, co zmniejsza ryzyko przestojów podczas przestojów w strefie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Wystąpienia zarządzane SQL powinny być strefowo nadmiarowe | Usługę SQL Managed Instances można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Wystąpienia z ustawieniem "zoneRedundant" ustawione na wartość "false" nie są skonfigurowane na potrzeby nadmiarowości strefy. Te zasady pomagają zidentyfikować wystąpienia zarządzane SQL, które wymagają konfiguracji nadmiarowości strefy w celu zwiększenia dostępności i odporności na platformie Azure. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konta magazynu powinny być strefowo nadmiarowe | Konta magazynu można skonfigurować tak, aby było strefowo nadmiarowe lub nie. Jeśli nazwa jednostki SKU konta magazynu nie kończy się ciągiem "ZRS" lub jego rodzaj to "Magazyn", nie jest strefowo nadmiarowy. Te zasady zapewniają, że konta magazynu korzystają z konfiguracji strefowo nadmiarowej ae. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Zestawy skalowania maszyn wirtualnych powinny być odporne na strefy | Zestawy skalowania maszyn wirtualnych można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Zestawy skalowania maszyn wirtualnych, które mają dokładnie jeden wpis w tablicy stref, są traktowane jako Wyrównane strefy. Z kolei zestawy skalowania maszyn wirtualnych z co najmniej 3 wpisami w tablicy stref i pojemność co najmniej 3 są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne powinny być wyrównane do strefy | Maszyny wirtualne można skonfigurować tak, aby były wyrównane do strefy. Są one traktowane jako Wyrównane strefy, jeśli mają tylko jeden wpis w tablicy stref. Te zasady zapewniają, że są skonfigurowane do działania w jednej strefie dostępności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Bramy sieci wirtualnej powinny być strefowo nadmiarowe | Bramy sieci wirtualnej można skonfigurować jako strefowo nadmiarowe lub nie. Bramy sieci wirtualnej, których nazwa jednostki SKU lub warstwa nie kończą się ciągiem "AZ", nie są strefowo nadmiarowe. Te zasady identyfikują bramy sieci wirtualnej bez nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
Search
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania wymaga wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/rbac. Należy pamiętać, że mimo że wyłączenie lokalnego parametru uwierzytelniania jest nadal w wersji zapoznawczej, efekt odmowy dla tych zasad może spowodować ograniczenie funkcjonalności portalu usługi Azure Cognitive Search, ponieważ niektóre funkcje portalu używają interfejsu API ga, który nie obsługuje parametru. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Włączenie szyfrowania magazynowanych przy użyciu klucza zarządzanego przez klienta w usłudze Azure Cognitive usługa wyszukiwania s zapewnia dodatkową kontrolę nad kluczem używanym do szyfrowania danych magazynowanych. Ta funkcja jest często stosowana dla klientów z specjalnymi wymaganiami dotyczącymi zgodności w celu zarządzania kluczami szyfrowania danych przy użyciu magazynu kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Konfigurowanie usługa wyszukiwania usługi Azure Cognitive w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby usługa Azure Cognitive usługa wyszukiwania wymagała wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/rbac. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Cognitive usługa wyszukiwania w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi Azure Cognitive usługa wyszukiwania, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Cognitive usługa wyszukiwania do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną, aby rozwiązać problemy z usługą Azure Cognitive usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługa wyszukiwania Usługi Azure Cognitive przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Azure Cognitive usługa wyszukiwania, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Security Center
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach z systemem Linux Arc | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach z usługą Linux Arc, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany w zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj agenta zabezpieczeń platformy Azure w zestawach skalowania maszyn wirtualnych z systemem Linux, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach wirtualnych z systemem Linux, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach z systemem Windows Arc | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach z systemem Windows Arc, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany w zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj agenta zabezpieczeń platformy Azure w zestawach skalowania maszyn wirtualnych z systemem Windows, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach wirtualnych z systemem Windows, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie z systemem Linux Arc | Zainstaluj rozszerzenie ChangeTracking na maszynach z systemem Linux Arc, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej z systemem Linux | Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie ChangeTracking w zestawach skalowania maszyn wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie z systemem Windows Arc | Zainstaluj rozszerzenie ChangeTracking na maszynach z systemem Windows Arc, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej z systemem Windows | Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych z systemem Windows, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj rozszerzenie ChangeTracking w zestawach skalowania maszyn wirtualnych z systemem Windows, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie agenta usługi Azure Defender for SQL na maszynie wirtualnej | Skonfiguruj maszyny z systemem Windows, aby automatycznie instalować agenta usługi Azure Defender for SQL, na którym zainstalowano agenta usługi Azure Monitor. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Tworzy grupę zasobów i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn z systemem Linux Arc | Skonfiguruj maszyny z usługą Linux Arc, aby automatycznie instalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych z systemem Linux | Skonfiguruj zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych z systemem Linux | Skonfiguruj maszyny wirtualne z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn z systemem Windows Arc | Skonfiguruj maszyny z systemem Windows Arc, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych z systemem Windows | Skonfiguruj zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych z systemem Windows | Skonfiguruj maszyny wirtualne z systemem Windows, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn z usługą Linux Arc w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny z usługą Linux Arc, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny z systemem Linux Arc muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Linux w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | Wersja zapoznawcza 6.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego włączania bezpiecznego rozruchu | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie włączyć bezpieczny rozruch w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | Wersja zapoznawcza 7.0.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | Wersja zapoznawcza 7.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych w celu automatycznego włączania maszyn wirtualnych vTPM | Skonfiguruj obsługiwane maszyny wirtualne, aby automatycznie włączyć maszyny wirtualne vTPM w celu ułatwienia mierzonego rozruchu i innych funkcji zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn z systemem Windows Arc w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny z usługą Windows Arc, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny z systemem Windows Arc muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn z systemem Windows w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny z systemem Windows, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Windows w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe zestawy skalowania maszyn wirtualnych z systemem Windows muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | 4.1.0—wersja zapoznawcza |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Windows w celu automatycznego włączania bezpiecznego rozruchu | Skonfiguruj obsługiwane maszyny wirtualne z systemem Windows, aby automatycznie włączyć bezpieczny rozruch w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane maszyny wirtualne z systemem Windows, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych utworzonych przy użyciu obrazów galerii obrazów udostępnionych w celu zainstalowania rozszerzenia zaświadczania gościa | Skonfiguruj maszyny wirtualne utworzone przy użyciu obrazów galerii obrazów udostępnionych, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie usługi VMSS utworzonego przy użyciu obrazów galerii obrazów udostępnionych w celu zainstalowania rozszerzenia zaświadczania gościa | Skonfiguruj usługę VMSS utworzoną przy użyciu obrazów z galerii obrazów udostępnionych, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach hybrydowych z systemem Linux | Wdraża agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach hybrydowych z systemem Linux | DeployIfNotExists, AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| [Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych z systemem Linux | Wdraża agenta Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych z systemem Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach z usługą Windows Azure Arc | Wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach z usługą Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| [Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych z systemem Windows | Wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych z systemem Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center aktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. | AuditIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu | Wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać bezpiecznego rozruchu | Aby chronić przed instalacją zestawów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych, włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Linux. Bezpieczny rozruch zapewnia możliwość uruchamiania tylko podpisanych systemów operacyjnych i sterowników. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny powinny mieć zamknięte porty, które mogą uwidaczniać wektory ataków | Warunki użytkowania platformy Azure uniemożliwiają korzystanie z usług platformy Azure w sposób, który może uszkodzić, wyłączyć, przeciążyć lub osłabić dowolny serwer firmy Microsoft lub sieć. Uwidocznione porty zidentyfikowane przez to zalecenie muszą zostać zamknięte w celu zapewnienia ciągłego zabezpieczeń. W przypadku każdego zidentyfikowanego portu zalecenie zawiera również wyjaśnienie potencjalnego zagrożenia. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | Inspekcja, wyłączone | 4.0.0-preview |
| [Wersja zapoznawcza]: Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie dziury są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Stan zaświadczania gościa maszyn wirtualnych powinien być w dobrej kondycji | Zaświadczanie gościa jest wykonywane przez wysłanie zaufanego dziennika (TCGLog) do serwera zaświadczania. Serwer używa tych dzienników do określenia, czy składniki rozruchu są wiarygodne. Ta ocena ma na celu wykrywanie kompromisów łańcucha rozruchowego, które mogą być wynikiem infekcji bootkit lub rootkit. Ta ocena dotyczy tylko maszyn wirtualnych z włączoną obsługą zaufanego uruchamiania z zainstalowanym rozszerzeniem zaświadczania gościa. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. | Inspekcja, wyłączone | 2.0.0-preview |
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. Dowiedz się więcej o zagrożeniu interfejsu API OWASP dla uszkodzonego uwierzytelniania użytkowników tutaj: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie otrzymały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa dla organizacji. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale mogły zostać przypadkowo pozostawione aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.1 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists, Disabled | 3.0.1 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source pod adresem https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych PostgreSQL | Inspekcja serwerów elastycznych PostgreSQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 1.0.0 |
| Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | AuditIfNotExists, Disabled | 1.0.1 |
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
| Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | AuditIfNotExists, Disabled | 1.0.1 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) należy skonfigurować bezpiecznie | Chroń wystąpienia ról usługi w chmurze (wsparcie dodatkowe) przed atakami, zapewniając, że nie są one ujawniane żadnym lukom w zabezpieczeniach systemu operacyjnego. | AuditIfNotExists, Disabled | 1.0.0 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) powinny mieć zainstalowane rozwiązanie ochrony punktu końcowego | Chroń wystąpienia ról usług Cloud Services (wsparcie dodatkowe) przed zagrożeniami i lukami w zabezpieczeniach, zapewniając zainstalowanie na nich rozwiązania ochrony punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) powinny mieć zainstalowane aktualizacje systemu | Zabezpieczanie wystąpień ról usług w chmurze (rozszerzonej pomocy technicznej), zapewniając zainstalowanie na nich najnowszych aktualizacji zabezpieczeń i krytycznych. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Advanced Threat Protection do włączenia na serwerach elastycznych usługi Azure Database for MySQL | Włącz usługę Advanced Threat Protection na elastycznych serwerach usługi Azure Database for MySQL, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zaawansowanej ochrony przed zagrożeniami do włączenia na serwerach elastycznych usługi Azure Database for PostgreSQL | Włącz usługę Advanced Threat Protection na elastycznych serwerach usługi Azure Database for PostgreSQL, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania agenta usługi Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na serwerach SQL z obsługą usługi Windows Arc. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania usługi Microsoft Defender for SQL | Skonfiguruj serwery SQL z obsługą usługi Windows Arc, aby automatycznie instalować agenta usługi Microsoft Defender for SQL. Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania usługi Microsoft Defender for SQL i DCR przy użyciu obszaru roboczego usługi Log Analytics | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów, regułę zbierania danych i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania usługi Microsoft Defender for SQL i DCR przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów i regułę zbierania danych w tym samym regionie co zdefiniowany przez użytkownika obszar roboczy usługi Log Analytics. | DeployIfNotExists, Disabled | 1.5.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc za pomocą skojarzenia reguły zbierania danych z usługą Microsoft Defender dla usługi SQL DCR | Skonfiguruj skojarzenie między serwerami SQL z obsługą usługi Arc i usługą Microsoft Defender for SQL DCR. Usunięcie tego skojarzenia spowoduje przerwanie wykrywania luk w zabezpieczeniach dla tych serwerów SQL z obsługą usługi Arc. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc za pomocą skojarzenia reguł zbierania danych z usługą Microsoft Defender dla zdefiniowanej przez użytkownika usługi DCR w usłudze Microsoft Defender | Skonfiguruj skojarzenie między serwerami SQL z włączoną usługą Arc i zdefiniowanym przez użytkownika kontrolerem domeny usługi Microsoft Defender for SQL. Usunięcie tego skojarzenia spowoduje przerwanie wykrywania luk w zabezpieczeniach dla tych serwerów SQL z obsługą usługi Arc. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie usługi Azure Defender dla App Service na wartość Włączone | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Defender dla usługi Azure SQL Database na wartość Włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Defender dla relacyjnych baz danych typu open source na wartość Włączone | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source pod adresem https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla usługi Resource Manager do wartości Włączone | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie usługi Azure Defender dla Serwerów na wartość Włączone | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Defender dla serwerów SQL na maszynach na wartość Włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie podstawowej usługi Microsoft Defender for Storage do włączenia (tylko monitorowanie aktywności) | Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Te zasady umożliwią korzystanie z podstawowych funkcji usługi Defender for Storage (Monitorowanie aktywności). Aby włączyć pełną ochronę, która obejmuje również funkcję skanowania złośliwego oprogramowania podczas przekazywania i wykrywania zagrożeń poufnych danych, użyj zasad pełnego włączania: aka.ms/DefenderForStoragePolicy. Aby dowiedzieć się więcej o możliwościach i korzyściach usługi Defender for Storage, odwiedź stronę aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie maszyn do odbierania dostawcy oceny luk w zabezpieczeniach | Usługa Azure Defender obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center. Po włączeniu tych zasad usługa Azure Defender automatycznie wdraża dostawcę oceny luk w zabezpieczeniach Qualys na wszystkich obsługiwanych maszynach, które nie zostały jeszcze zainstalowane. | DeployIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie planu CSPM w usłudze Defender firmy Microsoft | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie CSPM w usłudze Defender Microsoft na pozycję Włączone | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | DeployIfNotExists, Disabled | 1.0.2 |
| Konfigurowanie usługi Microsoft Defender dla usługi Azure Cosmos DB na wartość Włączone | Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Defender for Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie planu usługi Microsoft Defender for Containers | Nowe funkcje są stale dodawane do planu usługi Defender for Containers, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Microsoft Defender dla Kontenerów w celu włączenia | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury (WDATP_EXCLUDE_LINUX...) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Defender dla Chmury (znanej również jako WDATP_EXCLUDE_LINUX_...) na potrzeby włączania automatycznej aprowizacji oprogramowania MDE dla serwerów z systemem Linux. Aby to ustawienie było stosowane, należy włączyć ustawienie WDATP. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury (WDATP_UNIFIED_SOLUTION) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w ramach Microsoft Defender dla Chmury (znanej również jako WDATP_UNIFIED_SOLUTION) w celu włączenia automatycznej aprowizacji programu MDE Unified Agent dla systemu Windows Server 2012R2 i 2016. Aby to ustawienie było stosowane, należy włączyć ustawienie WDATP. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury (WDATP) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w ramach Microsoft Defender dla Chmury (znanej również jako WDATP) dla komputerów z systemem Windows dołączonych do rozwiązania MDE za pośrednictwem programu MMA oraz automatycznej aprowizacji oprogramowania MDE w systemie Windows Server 2019, Windows Virtual Desktop i nowszych wersjach. Aby inne ustawienia (WDATP_UNIFIED itp.), muszą być włączone. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie planu usługi Microsoft Defender for Key Vault | Usługa Microsoft Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie planu usługi Microsoft Defender dla serwerów | Nowe funkcje są stale dodawane do usługi Defender for Servers, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Microsoft Defender for SQL do włączenia w obszarach roboczych usługi Synapse | Włącz usługę Microsoft Defender for SQL w obszarach roboczych usługi Azure Synapse, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych SQL lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Microsoft Defender for Storage (klasycznej) do włączenia | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.0.2 |
| Konfigurowanie usługi Microsoft Defender for Storage do włączenia | Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Te zasady będą włączać wszystkie możliwości usługi Defender for Storage; Monitorowanie działań, skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Aby dowiedzieć się więcej o możliwościach i korzyściach usługi Defender for Storage, odwiedź stronę aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie maszyn wirtualnych SQL do automatycznego instalowania agenta usługi Azure Monitor | Automatyzowanie wdrażania rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows SQL. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurowanie maszyn wirtualnych SQL w celu automatycznego instalowania usługi Microsoft Defender for SQL | Skonfiguruj maszyny wirtualne SQL systemu Windows, aby automatycznie instalować rozszerzenie Microsoft Defender for SQL. Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurowanie maszyn wirtualnych SQL w celu automatycznego instalowania usługi Microsoft Defender dla usług SQL i DCR przy użyciu obszaru roboczego usługi Log Analytics | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów, regułę zbierania danych i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Disabled | 1.5.0 |
| Konfigurowanie maszyn wirtualnych SQL w celu automatycznego instalowania usługi Microsoft Defender for SQL i DCR przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów i regułę zbierania danych w tym samym regionie co zdefiniowany przez użytkownika obszar roboczy usługi Log Analytics. | DeployIfNotExists, Disabled | 1.5.0 |
| Konfigurowanie obszaru roboczego usługi Microsoft Defender dla usługi SQL Log Analytics | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Disabled | 1.3.0 |
| Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika | Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika na dużą skalę do maszyn wirtualnych SQL. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.5.0 |
| Wdrażanie — konfigurowanie reguł pomijania dla alertów usługi Azure Security Center | Pomijanie alertów usługi Azure Security Center w celu zmniejszenia zmęczenia alertów przez wdrożenie reguł pomijania w grupie zarządzania lub subskrypcji. | deployIfNotExists | 1.0.0 |
| Wdrażanie eksportu do centrum zdarzeń jako zaufanej usługi na potrzeby Microsoft Defender dla Chmury danych | Włącz eksportowanie do centrum zdarzeń jako zaufaną usługę Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do centrum zdarzeń jako konfigurację zaufanej usługi z warunkami i docelowym centrum zdarzeń w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie eksportu do centrum zdarzeń na potrzeby danych Microsoft Defender dla Chmury | Włącz eksportowanie do centrum zdarzeń Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do konfiguracji centrum zdarzeń z warunkami i docelowym centrum zdarzeń w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 4.2.0 |
| Wdrażanie eksportu do obszaru roboczego usługi Log Analytics na potrzeby Microsoft Defender dla Chmury danych | Włącz eksportowanie do obszaru roboczego usługi Log Analytics Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do konfiguracji obszaru roboczego usługi Log Analytics z warunkami i docelowym obszarem roboczym w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 4.1.0 |
| Wdrażanie automatyzacji przepływu pracy dla alertów usługi Microsoft Defender for Cloud | Włącz automatyzację alertów Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Wdrażanie automatyzacji przepływu pracy dla rekomendacji usługi Microsoft Defender for Cloud | Włącz automatyzację zaleceń dotyczących Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Wdrażanie automatyzacji przepływu pracy na potrzeby zgodności z przepisami Microsoft Defender dla Chmury | Włącz automatyzację zgodności z przepisami Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Włączanie Microsoft Defender dla Chmury w ramach subskrypcji | Identyfikuje istniejące subskrypcje, które nie są monitorowane przez Microsoft Defender dla Chmury i chroni je za pomocą bezpłatnych funkcji Defender dla Chmury. Subskrypcje już monitorowane będą uznawane za zgodne. Aby zarejestrować nowo utworzone subskrypcje, otwórz kartę zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 1.0.1 |
| Włącz automatyczną aprowizację agenta usługi Log Analytics w usłudze Security Center w subskrypcjach przy użyciu niestandardowego obszaru roboczego. | Zezwól usłudze Security Center na automatyczną aprowizację agenta usługi Log Analytics w subskrypcjach na monitorowanie i zbieranie danych zabezpieczeń przy użyciu niestandardowego obszaru roboczego. | DeployIfNotExists, Disabled | 1.0.0 |
| Włącz automatyczną aprowizację agenta usługi Log Analytics w usłudze Security Center w subskrypcjach przy użyciu domyślnego obszaru roboczego. | Zezwól usłudze Security Center na automatyczną aprowizację agenta usługi Log Analytics w subskrypcjach na monitorowanie i zbieranie danych zabezpieczeń przy użyciu domyślnego obszaru roboczego usługi ASC. | DeployIfNotExists, Disabled | 1.0.0 |
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ | Inspekcja, wyłączone | 1.0.2 |
| Agent usługi Log Analytics powinien być zainstalowany w wystąpieniach ról usług Cloud Services (wsparcie dodatkowe) | Usługa Security Center zbiera dane z wystąpień ról usług Cloud Services (rozszerzonej pomocy technicznej) w celu monitorowania pod kątem luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 2.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. | AuditIfNotExists, Disabled | 1.0.2 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć usługę Microsoft CSPM w usłudze Defender | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender dla interfejsów API | Usługa Microsoft Defender dla interfejsów API oferuje nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Microsoft Defender dla usługi Azure Cosmos DB powinna być włączona | Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Defender for Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse | Włącz usługę Defender for SQL, aby chronić obszary robocze usługi Synapse. Usługa Defender for SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.0 |
| Stan usługi Microsoft Defender for SQL powinien być chroniony dla serwerów SQL z obsługą usługi Arc | Usługa Microsoft Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych SQL, odnajdywanie i klasyfikowanie poufnych danych. Po włączeniu stan ochrony wskazuje, że zasób jest aktywnie monitorowany. Nawet jeśli usługa Defender jest włączona, należy zweryfikować wiele ustawień konfiguracji na agencie, komputerze, obszarze roboczym i serwerze SQL, aby zapewnić aktywną ochronę. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy wybrać warstwę cenową Usługi Security Center w warstwie Standardowa | Warstwa cenowa Standardowa umożliwia wykrywanie zagrożeń dla sieci i maszyn wirtualnych, zapewniając analizę zagrożeń, wykrywanie anomalii i analizę zachowań w usłudze Azure Security Center | Inspekcja, wyłączone | 1.1.0 |
| Konfigurowanie subskrypcji w celu przejścia do alternatywnego rozwiązania do oceny luk w zabezpieczeniach | Usługa Microsoft Defender dla chmury oferuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Włączenie tych zasad spowoduje, że Defender dla Chmury automatycznie propagować wyniki z wbudowanego rozwiązania usługi Microsoft Defender zarządzanie lukami w zabezpieczeniach do wszystkich obsługiwanych maszyn. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
| Automatyczne aprowizowanie programu SQL Server powinno być włączone dla serwerów SQL w planie maszyn | Aby upewnić się, że maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc są chronione, upewnij się, że docelowy agent monitorowania sql jest skonfigurowany do automatycznego wdrażania. Jest to również konieczne, jeśli wcześniej skonfigurowano automatyczne aprowizowanie programu Microsoft Monitoring Agent, ponieważ ten składnik jest przestarzały. Dowiedz się więcej: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AuditIfNotExists, Disabled | 1.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję sprawdzającą, czy nie brakuje żadnych aktualizacji zabezpieczeń systemu i aktualizacji krytycznych, które powinny być zainstalowane, aby zapewnić bezpieczeństwo zestawów skalowania maszyn wirtualnych z systemami Windows i Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 4.0.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera | Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. | AuditIfNotExists, Disabled | 3.0.0 |
Security Center — szczegółowe ceny
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla wszystkich zasobów (poziom zasobów) | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów SKALOWANIA maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla zasobów (poziom zasobów) przy użyciu wybranego tagu | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów skalowania maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla serwerów do włączenia (podplanu P1) dla wszystkich zasobów (poziom zasobów) przy użyciu wybranego tagu | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla serwerów do włączenia (z podplanem "P1" dla wszystkich zasobów (poziom zasobów) | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). | DeployIfNotExists, Disabled | 1.0.0 |
Service Bus
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie reguły autoryzacji z wyjątkiem RootManageSharedAccessKey powinny zostać usunięte z przestrzeni nazw usługi Service Bus | Klienci usługi Service Bus nie powinni używać zasad dostępu na poziomie przestrzeni nazw, które zapewniają dostęp do wszystkich kolejek i tematów w przestrzeni nazw. Aby dopasować go do modelu zabezpieczeń najniższych uprawnień, należy utworzyć zasady dostępu na poziomie jednostki dla kolejek i tematów, aby zapewnić dostęp tylko do określonej jednostki | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Przestrzenie nazw usługi Azure Service Bus powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że przestrzenie nazw usługi Azure Service Bus wymagają wyłącznie tożsamości identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/disablelocalauth-sb. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw usługi Azure Service Bus w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby przestrzenie nazw usługi Azure ServiceBus wymagały wyłącznie tożsamości identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/disablelocalauth-sb. | Modyfikowanie, wyłączone | 1.0.1 |
| Konfigurowanie przestrzeni nazw usługi Service Bus do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania przestrzeni nazw usługi Service Bus. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw usługi Service Bus z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Przestrzenie nazw usługi Service Bus powinny wyłączyć dostęp do sieci publicznej | Usługa Azure Service Bus powinna mieć wyłączony dostęp do sieci publicznej. Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Przestrzenie nazw usługi Service Bus powinny mieć włączone podwójne szyfrowanie | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Service Bus Premium powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Service Bus obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Service Bus do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Service Bus obsługuje tylko szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w warstwie Premium. | Inspekcja, wyłączone | 1.0.0 |
Service Fabric
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
SignalR
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure SignalR Service powinna wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo zasobu usługi Azure SignalR Service, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/asrs/networkacls. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Usługa Azure SignalR Service powinna włączyć dzienniki diagnostyczne | Inspekcja włączania dzienników diagnostycznych. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Azure SignalR Service wymaga wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure SignalR Service powinna używać jednostki SKU z obsługą usługi Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym, które chronią zasoby przed ryzykiem wycieku danych publicznych. Zasady ograniczają jednostki SKU z obsługą usługi Private Link dla usługi Azure SignalR Service. Dowiedz się więcej o linku prywatnym pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure SignalR Service w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby usługa Azure SignalR Service wymagała wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie prywatnych punktów końcowych w usłudze Azure SignalR Service | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby usługi Azure SignalR Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych na potrzeby nawiązywania połączenia z usługą Azure SignalR Service | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobu usługi Azure SignalR Service. Dowiedz się więcej na stronie: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Modyfikowanie zasobów usługi Azure SignalR Service w celu wyłączenia dostępu do sieci publicznej | Aby zwiększyć bezpieczeństwo zasobu usługi Azure SignalR Service, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/asrs/networkacls. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Modyfikowanie, wyłączone | 1.1.0 |
Site Recovery
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Azure Recovery Services do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną, aby rozpoznać magazyny usługi Recovery Services. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie prywatnych punktów końcowych w magazynach usługi Azure Recovery Services | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby odzyskiwania lokacji magazynów usługi Recovery Services, można zmniejszyć ryzyko wycieku danych. Aby korzystać z linków prywatnych, tożsamość usługi zarządzanej musi być przypisana do magazynów usługi Recovery Services. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Recovery Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do magazynów usługi Azure Recovery Services, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych dla usługi Azure Site Recovery pod adresem: https://aka.ms/HybridScenarios-PrivateLink i https://aka.ms/AzureToAzure-PrivateLink. | Inspekcja, wyłączone | 1.0.0-preview |
SQL
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator firmy Microsoft Entra powinien być aprowizowany dla serwerów MySQL | Przeprowadź inspekcję aprowizacji administratora usługi Microsoft Entra dla serwera MySQL, aby włączyć uwierzytelnianie firmy Microsoft Entra. Uwierzytelnianie firmy Microsoft Entra umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.1.1 |
| Administrator firmy Microsoft Entra powinien być aprowizowany dla serwerów PostgreSQL | Przeprowadź inspekcję aprowizacji administratora usługi Microsoft Entra dla serwera PostgreSQL, aby włączyć uwierzytelnianie firmy Microsoft Entra. Uwierzytelnianie firmy Microsoft Entra umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.1 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Serwer elastyczny usługi Azure MySQL powinien mieć włączone uwierzytelnianie tylko w usłudze Microsoft Entra | Wyłączenie lokalnych metod uwierzytelniania i zezwolenie tylko na uwierzytelnianie Entra firmy Microsoft zwiększa bezpieczeństwo, zapewniając, że elastyczny serwer Azure MySQL może być dostępny wyłącznie przez tożsamości firmy Microsoft Entra. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure SQL Database powinna mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej | Ustawienie protokołu TLS w wersji 1.2 lub nowszej zwiększa bezpieczeństwo, zapewniając, że usługa Azure SQL Database może być dostępna tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Usługa Azure SQL Database powinna mieć włączone uwierzytelnianie tylko firmy Microsoft | Wymagaj, aby serwery logiczne Usługi Azure SQL używały uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia serwerów z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure SQL Database powinna mieć włączone uwierzytelnianie tylko firmy Microsoft podczas tworzenia | Wymagaj utworzenia serwerów logicznych usługi Azure SQL przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Usługa Azure SQL Managed Instance powinna mieć włączone uwierzytelnianie tylko firmy Microsoft | Wymagaj, aby usługa Azure SQL Managed Instance korzystała z uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia wystąpień zarządzanych usługi Azure SQL z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure SQL Managed Instances powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając dostęp do nich tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. Aby dowiedzieć się więcej o dostępie do sieci publicznej, odwiedź stronę https://aka.ms/mi-public-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure SQL Managed Instances powinna mieć włączone uwierzytelnianie tylko firmy Microsoft podczas tworzenia | Wymagaj utworzenia usługi Azure SQL Managed Instance przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Konfigurowanie zaawansowanej ochrony przed zagrożeniami do włączenia na serwerach usługi Azure Database for MariaDB | Włącz usługę Advanced Threat Protection na serwerach usługi Azure Database for MariaDB w warstwie innej niż Podstawowa, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie zaawansowanej ochrony przed zagrożeniami do włączenia na serwerach usługi Azure Database for MySQL | Włącz usługę Advanced Threat Protection na serwerach usługi Azure Database for MySQL w warstwie innej niż Podstawowa, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie zaawansowanej ochrony przed zagrożeniami do włączenia na serwerach usługi Azure Database for PostgreSQL | Włącz usługę Advanced Threat Protection na serwerach usługi Azure Database for PostgreSQL w warstwie innej niż Podstawowa, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie usługi Azure Defender do włączenia w wystąpieniach zarządzanych SQL | Włącz usługę Azure Defender w usłudze Azure SQL Managed Instances, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie usługi Azure Defender do włączenia na serwerach SQL | Włącz usługę Azure Defender na serwerach Azure SQL Server, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists | 2.1.0 |
| Konfigurowanie ustawień diagnostycznych serwerów bazy danych Azure SQL Database w obszarze roboczym usługi Log Analytics | Włącza dzienniki inspekcji dla serwera usługi Azure SQL Database i przesyła strumieniowo dzienniki do obszaru roboczego usługi Log Analytics, gdy w dowolnym programie SQL Server, który nie ma tej inspekcji, został utworzony lub zaktualizowany | DeployIfNotExists, Disabled | 1.0.2 |
| Konfigurowanie programu Azure SQL Server w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej wyłącza łączność publiczną, tak aby program Azure SQL Server mógł uzyskiwać dostęp tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp do sieci publicznej dla wszystkich baz danych w programie Azure SQL Server. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie programu Azure SQL Server w celu włączenia połączeń prywatnych punktów końcowych | Połączenie prywatnego punktu końcowego umożliwia prywatną łączność z usługą Azure SQL Database za pośrednictwem prywatnego adresu IP wewnątrz sieci wirtualnej. Ta konfiguracja poprawia stan zabezpieczeń i obsługuje narzędzia i scenariusze sieciowe platformy Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie serwerów SQL w celu włączenia inspekcji | Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, serwery SQL powinny mieć włączoną inspekcję. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | DeployIfNotExists, Disabled | 3.0.0 |
| Konfigurowanie serwerów SQL w celu włączenia inspekcji w obszarze roboczym usługi Log Analytics | Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, serwery SQL powinny mieć włączoną inspekcję. Jeśli inspekcja nie jest włączona, te zasady skonfigurują zdarzenia inspekcji w celu przepływu do określonego obszaru roboczego usługi Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Ograniczanie przepustowości Połączenie ion powinno być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania Połączenie ion. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł. | AuditIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie ustawień diagnostycznych dla baz danych SQL w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla baz danych SQL w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnej bazie danych SQL, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 4.0.0 |
| Wdrażanie usługi Advanced Data Security na serwerach SQL | Te zasady umożliwiają usługę Advanced Data Security na serwerach SQL. Obejmuje to włączenie funkcji wykrywania zagrożeń i oceny luk w zabezpieczeniach. Spowoduje to automatyczne utworzenie konta magazynu w tym samym regionie i grupie zasobów co serwer SQL do przechowywania wyników skanowania z prefiksem "sqlva". | DeployIfNotExists | 1.3.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Azure SQL Database w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Azure SQL Database, aby przesyłać strumieniowo do regionalnego centrum zdarzeń w dowolnej bazie danych Azure SQL Database, która nie ma tych ustawień diagnostycznych, została utworzona lub zaktualizowana. | DeployIfNotExists | 1.2.0 |
| Wdrażanie przezroczystego szyfrowania danych w bazie danych SQL | Umożliwia przezroczyste szyfrowanie danych w bazach danych SQL | DeployIfNotExists, Disabled | 2.2.0 |
| Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL. | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for MySQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for MySQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych przez firmę Microsoft ze standardem FIPS 140-2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2 | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
| Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
| Czas trwania dziennika powinien być włączony dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_duration. | AuditIfNotExists, Disabled | 1.0.0 |
| Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database | Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Serwer MariaDB powinien używać punktu końcowego usługi sieci wirtualnej | Reguły zapory oparte na sieci wirtualnej służą do włączania ruchu z określonej podsieci do usługi Azure Database for MariaDB przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. Te zasady umożliwiają inspekcję, czy usługa Azure Database for MariaDB ma używany punkt końcowy usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.2 |
| Serwer MySQL powinien używać punktu końcowego usługi sieci wirtualnej | Reguły zapory oparte na sieci wirtualnej są używane do włączania ruchu z określonej podsieci do usługi Azure Database for MySQL przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. Te zasady umożliwiają przeprowadzanie inspekcji, czy usługa Azure Database for MySQL ma używany punkt końcowy usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.2 |
| Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Serwer PostgreSQL powinien używać punktu końcowego usługi sieci wirtualnej | Reguły zapory oparte na sieci wirtualnej służą do włączania ruchu z określonej podsieci do usługi Azure Database for PostgreSQL przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. Te zasady umożliwiają przeprowadzanie inspekcji, czy usługa Azure Database for PostgreSQL ma używany punkt końcowy usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.2 |
| Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów elastycznych MySQL | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że elastyczne serwery usługi Azure Database for MySQL mogą być dostępne tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów elastycznych PostgreSQL | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że elastyczne serwery usługi Azure Database for PostgreSQL mogą być dostępne tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 3.0.1 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Ustawienia inspekcji SQL powinny mieć grupy akcji skonfigurowane do przechwytywania krytycznych działań | Właściwość AuditActionsAndGroups powinna zawierać co najmniej SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP w celu zapewnienia dokładnego rejestrowania inspekcji | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa SQL Database powinna unikać używania nadmiarowości kopii zapasowych GRS | Bazy danych powinny unikać używania domyślnego magazynu geograficznie nadmiarowego do tworzenia kopii zapasowych, jeśli reguły przechowywania danych wymagają, aby dane pozostawały w określonym regionie. Uwaga: usługa Azure Policy nie jest wymuszana podczas tworzenia bazy danych przy użyciu języka T-SQL. Jeśli nie zostanie jawnie określona, baza danych z geograficznie nadmiarowym magazynem kopii zapasowych zostanie utworzona za pośrednictwem języka T-SQL. | Odmów, Wyłączone | 2.0.0 |
| Wystąpienie zarządzane SQL powinno mieć minimalną wersję protokołu TLS 1.2 | Ustawienie minimalnej wersji protokołu TLS na 1.2 zwiększa bezpieczeństwo, zapewniając dostęp do usługi SQL Managed Instance tylko od klientów przy użyciu protokołu TLS 1.2. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Inspekcja, wyłączone | 1.0.1 |
| Usługa SQL Managed Instances powinna unikać używania nadmiarowości kopii zapasowych GRS | Wystąpienia zarządzane powinny unikać używania domyślnego magazynu geograficznie nadmiarowego do tworzenia kopii zapasowych, jeśli reguły przechowywania danych wymagają, aby dane pozostawały w określonym regionie. Uwaga: usługa Azure Policy nie jest wymuszana podczas tworzenia bazy danych przy użyciu języka T-SQL. Jeśli nie zostanie jawnie określona, baza danych z geograficznie nadmiarowym magazynem kopii zapasowych zostanie utworzona za pośrednictwem języka T-SQL. | Odmów, Wyłączone | 2.0.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
| Reguła zapory sieci wirtualnej w usłudze Azure SQL Database powinna być włączona, aby zezwalać na ruch z określonej podsieci | Reguły zapory oparte na sieci wirtualnej służą do włączania ruchu z określonej podsieci do usługi Azure SQL Database przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. | AuditIfNotExists | 1.0.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
Wystąpienie zarządzane SQL
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Szyfrowanie kluczy zarządzanych przez klienta musi być używane jako część szyfrowania CMK dla wystąpień zarządzanych usługi Arc SQL. | W ramach szyfrowania cmK należy użyć szyfrowania kluczy zarządzanych przez klienta. Dowiedz się więcej na https://aka.ms/EnableTDEArcSQLMI. | Inspekcja, wyłączone | 1.0.0 |
| Protokół TLS 1.2 musi być używany dla wystąpień zarządzanych usługi Arc SQL. | W ramach ustawień sieci firma Microsoft zaleca zezwolenie tylko na protokoły TLS 1.2 w przypadku protokołów TLS na serwerach SQL. Dowiedz się więcej na temat ustawień sieciowych dla programu SQL Server pod adresem https://aka.ms/TlsSettingsSQLServer. | Inspekcja, wyłączone | 1.0.0 |
| Funkcja Transparent Data Encryption musi być włączona dla wystąpień zarządzanych usługi Arc SQL. | Włącz funkcję Transparent Data Encryption (TDE) magazynowanych w wystąpieniu zarządzanym SQL z obsługą usługi Azure Arc. Dowiedz się więcej na https://aka.ms/EnableTDEArcSQLMI. | Inspekcja, wyłączone | 1.0.0 |
SQL Server
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Włączanie tożsamości przypisanej przez system do maszyny wirtualnej SQL | Włącz tożsamość przypisaną przez system na dużą skalę do maszyn wirtualnych SQL. Te zasady należy przypisać na poziomie subskrypcji. Przypisanie na poziomie grupy zasobów nie będzie działać zgodnie z oczekiwaniami. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Skonfiguruj serwery z obsługą usługi Arc z zainstalowanym rozszerzeniem programu SQL Server, aby włączyć lub wyłączyć ocenę najlepszych rozwiązań SQL. | Włącz lub wyłącz ocenę najlepszych rozwiązań SQL na wystąpieniach programu SQL Server na serwerach z obsługą usługi Arc, aby ocenić najlepsze rozwiązania. Dowiedz się więcej na https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Subskrybowanie kwalifikujących się wystąpień programu SQL Server z obsługą usługi Arc do rozszerzonego Aktualizacje zabezpieczeń. | Zasubskrybuj kwalifikujące się wystąpienia programu SQL Server z obsługą usługi Arc z typem licencji ustawionym na płatne lub płatne zgodnie z Aktualizacje zabezpieczeń rozszerzonych. Więcej informacji na temat rozszerzonych aktualizacji https://go.microsoft.com/fwlink/?linkid=2239401zabezpieczeń . | DeployIfNotExists, Disabled | 1.0.0 |
Stack HCI
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Serwery usługi Azure Stack HCI powinny mieć spójnie wymuszane zasady kontroli aplikacji | Zastosuj co najmniej podstawowe zasady programu Microsoft WDAC w trybie wymuszanym na wszystkich serwerach usługi Azure Stack HCI. Zastosowane zasady kontroli aplikacji usługi Windows Defender (WDAC) muszą być spójne między serwerami w tym samym klastrze. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
| [Wersja zapoznawcza]: Serwery rozwiązania Azure Stack HCI powinny spełniać wymagania zabezpieczonego rdzenia | Upewnij się, że wszystkie serwery azure Stack HCI spełniają wymagania zabezpieczonego rdzenia. Aby włączyć wymagania serwera zabezpieczonego rdzenia: 1. Na stronie Klastry rozwiązania Azure Stack HCI przejdź do witryny Windows Administracja Center i wybierz pozycję Połączenie. 2. Przejdź do rozszerzenia Zabezpieczenia i wybierz pozycję Zabezpieczone-core. 3. Wybierz dowolne ustawienie, które nie jest włączone, a następnie kliknij przycisk Włącz. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
| [Wersja zapoznawcza]: systemy Azure Stack HCI powinny mieć zaszyfrowane woluminy | Funkcja BitLocker umożliwia szyfrowanie woluminów systemu operacyjnego i danych w systemach Azure Stack HCI. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
| [Wersja zapoznawcza]: Sieć hostów i maszyn wirtualnych powinna być chroniona w systemach Azure Stack HCI | Ochrona danych w sieci hostów usługi Azure Stack HCI i połączeń sieciowych maszyn wirtualnych. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
Storage
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.0-preview |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Woluminy SMB usługi Azure NetApp Files powinny używać szyfrowania SMB3 | Nie zezwalaj na tworzenie woluminów SMB bez szyfrowania SMB3 w celu zapewnienia integralności danych i prywatności danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Woluminy usługi Azure NetApp Files typu NFSv4.1 powinny używać szyfrowania danych Kerberos | Zezwalaj tylko na korzystanie z trybu zabezpieczeń protokołu Kerberos (5p) w celu zapewnienia szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Woluminy usługi Azure NetApp Files typu NFSv4.1 powinny używać integralności danych protokołu Kerberos lub prywatności danych | Upewnij się, że wybrano co najmniej integralność protokołu Kerberos (krb5i) lub prywatność protokołu Kerberos (krb5p), aby zapewnić integralność danych i prywatność danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Woluminy usługi Azure NetApp Files nie powinny używać typu protokołu NFSv3 | Nie zezwalaj na używanie typu protokołu NFSv3, aby zapobiec niezabezpieczonemu dostępowi do woluminów. System plików NFSv4.1 z protokołem Kerberos powinien służyć do uzyskiwania dostępu do woluminów NFS w celu zapewnienia integralności i szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy obiektów blob | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego identyfikatora grupy obiektów blob. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora blob_secondary groupID | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego blob_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy dfs | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego dfs groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy dfs_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego dfs_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy plików | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego groupID pliku. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy kolejki | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego groupID kolejki. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy queue_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego queue_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy tabel | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego groupID tabeli. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy table_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego table_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy sieci Web | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego identyfikatora grupy sieci Web. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy web_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego web_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure File Sync do korzystania z prywatnych stref DNS | Aby uzyskać dostęp do prywatnych punktów końcowych dla interfejsów zasobów usługi synchronizacji magazynu z zarejestrowanego serwera, należy skonfigurować usługę DNS w celu rozpoznawania poprawnych nazw prywatnych adresów IP prywatnego punktu końcowego. Te zasady tworzą wymagane rekordy azure Prywatna strefa DNS Zone i A dla interfejsów prywatnych punktów końcowych usługi synchronizacji magazynu. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie usługi Azure File Sync z prywatnymi punktami końcowymi | Prywatny punkt końcowy jest wdrażany dla wskazanego zasobu usługi synchronizacji magazynu. Dzięki temu można adresować zasób usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Istnienie co najmniej jednego prywatnego punktu końcowego przez siebie nie wyłącza publicznego punktu końcowego. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usług Blob Services w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usług Blob Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnej usłudze blob, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usług plików w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usług plików w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy wszystkie usługi plików, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usługi Queue Services w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne usług Queue Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy wszystkie usługi kolejkowania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. Uwaga: te zasady nie są wyzwalane podczas tworzenia konta magazynu i wymagają utworzenia zadania korygowania w celu zaktualizowania konta. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurowanie ustawień diagnostycznych dla kont magazynu w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla kont magazynu w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy wszystkie konta magazynu, dla których brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie ustawień diagnostycznych dla usług Table Services w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne usług Table Services w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnej usłudze tabeli, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. Uwaga: te zasady nie są wyzwalane podczas tworzenia konta magazynu i wymagają utworzenia zadania korygowania w celu zaktualizowania konta. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Konfigurowanie bezpiecznego transferu danych na koncie magazynu | Bezpieczny transfer to opcja, która wymusza na koncie magazynu akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie konta magazynu do korzystania z połączenia łącza prywatnego | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na konto magazynu, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie kont magazynu w celu wyłączenia dostępu do sieci publicznej | Aby zwiększyć bezpieczeństwo kont magazynu, upewnij się, że nie są one widoczne dla publicznego Internetu i mogą być dostępne tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/storageaccountpublicnetworkaccess. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Modyfikowanie, wyłączone | 1.0.1 |
| Konfigurowanie publicznego dostępu do konta magazynu, aby było niedozwolone | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie konta magazynu w celu włączenia przechowywania wersji obiektów blob | Możesz włączyć przechowywanie wersji usługi Blob Storage, aby automatycznie obsługiwać poprzednie wersje obiektu. Po włączeniu przechowywania wersji obiektów blob można uzyskać dostęp do wcześniejszych wersji obiektu blob, aby odzyskać dane, jeśli zostaną zmodyfikowane lub usunięte. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wdrażanie usługi Defender for Storage (klasycznej) na kontach magazynu | Te zasady umożliwiają usłudze Defender for Storage (wersja klasyczna) na kontach magazynu. | DeployIfNotExists, Disabled | 1.0.1 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku usługi Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Modyfikowanie — konfigurowanie usługi Azure File Sync w celu wyłączenia dostępu do sieci publicznej | Publiczny punkt końcowy usługi Azure File Sync jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi synchronizacji magazynu za pośrednictwem prywatnych punktów końcowych. | Modyfikowanie, wyłączone | 1.0.0 |
| Modyfikowanie — konfigurowanie konta magazynu w celu włączenia przechowywania wersji obiektów blob | Możesz włączyć przechowywanie wersji usługi Blob Storage, aby automatycznie obsługiwać poprzednie wersje obiektu. Po włączeniu przechowywania wersji obiektów blob można uzyskać dostęp do wcześniejszych wersji obiektu blob, aby odzyskać dane, jeśli zostaną zmodyfikowane lub usunięte. Pamiętaj, że istniejące konta magazynu nie zostaną zmodyfikowane w celu włączenia przechowywania wersji usługi Blob Storage. Tylko nowo utworzone konta magazynu będą miały włączoną obsługę wersji magazynu obiektów blob | Modyfikowanie, wyłączone | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla usługi Azure File Sync | Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi synchronizacji magazynu do żądań kierowanych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Nie ma z natury pewności co do zezwalania na żądania do publicznego punktu końcowego, jednak możesz wyłączyć je tak, aby spełniały wymagania zasad prawnych, prawnych lub organizacyjnych. Publiczny punkt końcowy usługi synchronizacji magazynu można wyłączyć, ustawiając wartość incomingTrafficPolicy zasobu na Wartość AllowVirtualNetworksOnly. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Queue Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpiecz magazyn kolejek przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Zakresy szyfrowania konta magazynu powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza magazynu kluczy platformy Azure utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o zakresach szyfrowania konta magazynu na stronie https://aka.ms/encryption-scopes-overview. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zakresy szyfrowania konta magazynu powinny używać podwójnego szyfrowania dla danych magazynowanych | Włącz szyfrowanie infrastruktury na potrzeby szyfrowania magazynowanych zakresów szyfrowania konta magazynu w celu zwiększenia bezpieczeństwa. Szyfrowanie infrastruktury gwarantuje, że dane są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klucze konta magazynu nie powinny być wygasłe | Upewnij się, że klucze konta magazynu użytkownika nie wygasły po ustawieniu zasad wygasania klucza, aby zwiększyć bezpieczeństwo kluczy kont przez podjęcie akcji po wygaśnięciu kluczy. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny być ograniczone przez dozwolone jednostki SKU | Ogranicz zestaw jednostek SKU konta magazynu, które organizacja może wdrożyć. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo kont magazynu, upewnij się, że nie są one widoczne dla publicznego Internetu i mogą być dostępne tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://aka.ms/storageaccountpublicnetworkaccess. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny mieć skonfigurowane zasady sygnatury dostępu współdzielonego (SAS) | Upewnij się, że konta magazynu mają włączone zasady wygasania sygnatury dostępu współdzielonego (SAS). Użytkownicy używają sygnatury dostępu współdzielonego do delegowania dostępu do zasobów na koncie usługi Azure Storage. Zasady wygasania sygnatur dostępu współdzielonego zalecają górny limit wygaśnięcia, gdy użytkownik tworzy token SAS. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny mieć określoną minimalną wersję protokołu TLS | Skonfiguruj minimalną wersję protokołu TLS na potrzeby bezpiecznej komunikacji między aplikacją kliencką a kontem magazynu. Aby zminimalizować ryzyko bezpieczeństwa, zalecana minimalna wersja protokołu TLS to najnowsza wersja, która jest obecnie protokołem TLS 1.2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny uniemożliwiać replikację obiektów między dzierżawami | Przeprowadź inspekcję ograniczeń replikacji obiektów dla konta magazynu. Domyślnie użytkownicy mogą konfigurować replikację obiektów przy użyciu źródłowego konta magazynu w jednej dzierżawie usługi Azure AD i koncie docelowym w innej dzierżawie. Jest to problem z zabezpieczeniami, ponieważ dane klienta można replikować do konta magazynu należącego do klienta. Ustawiając wartość allowCrossTenantReplication na wartość false, replikacja obiektów można skonfigurować tylko wtedy, gdy zarówno konta źródłowe, jak i docelowe znajdują się w tej samej dzierżawie usługi Azure AD. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego | Wymaganie inspekcji usługi Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń usługi Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Z tych dwóch typów autoryzacji to usługa Azure AD zapewnia większe bezpieczeństwo i jest ona łatwiejsza w użyciu niż klucz wspólny. Jest to także autoryzacja zalecana przez firmę Microsoft. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Usługa Table Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie magazynu tabel przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Stream Analytics
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zadania usługi Azure Stream Analytics powinny używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby bezpiecznie przechowywać wszelkie metadane i prywatne zasoby danych zadań usługi Stream Analytics na koncie magazynu. Zapewnia to całkowitą kontrolę nad sposobem szyfrowania danych usługi Stream Analytics. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Zadanie usługi Stream Analytics powinno łączyć się z zaufanymi danymi wejściowymi i wyjściowymi | Upewnij się, że zadania usługi Stream Analytics nie mają dowolnych połączeń wejściowych lub wyjściowych, które nie są zdefiniowane na liście dozwolonych. Sprawdza to, czy zadania usługi Stream Analytics nie eksfiltrują danych, łącząc się z dowolnymi ujściami poza organizacją. | Odmów, Wyłączone, Inspekcja | 1.1.0 |
| Zadanie usługi Stream Analytics powinno używać tożsamości zarządzanej do uwierzytelniania punktów końcowych | Upewnij się, że zadania usługi Stream Analytics łączą się tylko z punktami końcowymi przy użyciu uwierzytelniania tożsamości zarządzanej. | Odmów, Wyłączone, Inspekcja | 1.0.0 |
Synapsy
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja w obszarze roboczym usługi Synapse powinna być włączona | Inspekcja w obszarze roboczym usługi Synapse powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych w dedykowanych pulach SQL i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 1.0.0 |
| Dedykowane pule SQL usługi Azure Synapse Analytics powinny włączyć szyfrowanie | Włącz funkcję Transparent Data Encryption dla dedykowanych pul SQL usługi Azure Synapse Analytics, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności. Należy pamiętać, że włączenie przezroczystego szyfrowania danych dla puli może mieć wpływ na wydajność zapytań. Więcej informacji można znaleźć w temacie https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
| Program SQL Server obszaru roboczego usługi Azure Synapse powinien mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej | Ustawienie wersji protokołu TLS na 1.2 lub nowsze zwiększa bezpieczeństwo, zapewniając, że serwer SQL obszaru roboczego usługi Azure Synapse może być dostępny tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Obszary robocze usługi Azure Synapse powinny zezwalać na ruch wychodzący danych tylko do zatwierdzonych obiektów docelowych | Zwiększ bezpieczeństwo obszaru roboczego usługi Synapse, zezwalając na ruch wychodzący danych tylko do zatwierdzonych obiektów docelowych. Pomaga to zapobiegać eksfiltracji danych, sprawdzając cel przed wysłaniem danych. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszar roboczy usługi Synapse nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie obszarów roboczych usługi Synapse. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby kontrolować szyfrowanie danych przechowywanych w obszarach roboczych usługi Azure Synapse. Klucze zarządzane przez klienta zapewniają podwójne szyfrowanie przez dodanie drugiej warstwy szyfrowania na podstawie domyślnego szyfrowania za pomocą kluczy zarządzanych przez usługę. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Konfigurowanie dedykowanej wersji protokołu TLS w obszarze roboczym usługi Azure Synapse | Klienci mogą zgłaszać lub obniżać minimalną wersję protokołu TLS przy użyciu interfejsu API zarówno dla nowych obszarów roboczych usługi Synapse, jak i istniejących obszarów roboczych. Dlatego użytkownicy, którzy muszą używać niższej wersji klienta w obszarach roboczych, mogą się łączyć, podczas gdy użytkownicy, którzy mają wymagania dotyczące zabezpieczeń, mogą podnieść minimalną wersję protokołu TLS. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie obszarów roboczych usługi Azure Synapse w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla obszaru roboczego usługi Synapse, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Azure Synapse do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozwiązania problemu z obszarem roboczym usługi Azure Synapse. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie obszarów roboczych usługi Azure Synapse z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Synapse, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Synapse w celu włączenia inspekcji | Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, obszary robocze usługi Synapse powinny mieć włączoną inspekcję. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie obszarów roboczych usługi Synapse w celu włączenia inspekcji w obszarze roboczym usługi Log Analytics | Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, obszary robocze usługi Synapse powinny mieć włączoną inspekcję. Jeśli inspekcja nie jest włączona, te zasady skonfigurują zdarzenia inspekcji w celu przepływu do określonego obszaru roboczego usługi Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Synapse do używania tylko tożsamości usługi Microsoft Entra na potrzeby uwierzytelniania | Wymagaj i ponownie skonfiguruj obszary robocze usługi Synapse do korzystania z uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia obszarów roboczych z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego i ponowne włączenie uwierzytelniania tylko firmy Microsoft w przypadku zasobów po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Synapse do używania tylko tożsamości usługi Microsoft Entra na potrzeby uwierzytelniania podczas tworzenia obszaru roboczego | Wymagaj i ponownie skonfiguruj obszary robocze usługi Synapse do utworzenia przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. | Modyfikowanie, wyłączone | 1.2.0 |
| Reguły zapory adresów IP w obszarach roboczych usługi Azure Synapse powinny zostać usunięte | Usunięcie wszystkich reguł zapory adresów IP zwiększa bezpieczeństwo, zapewniając dostęp do obszaru roboczego usługi Azure Synapse tylko z prywatnego punktu końcowego. Ta konfiguracja przeprowadza inspekcję tworzenia reguł zapory, które zezwalają na dostęp do sieci publicznej w obszarze roboczym. | Inspekcja, wyłączone | 1.0.0 |
| Należy włączyć zarządzaną sieć wirtualną obszaru roboczego w obszarach roboczych usługi Azure Synapse | Włączenie zarządzanej sieci wirtualnej obszaru roboczego gwarantuje, że obszar roboczy jest odizolowany od innych obszarów roboczych. Integracja danych i zasoby platformy Spark wdrożone w tej sieci wirtualnej zapewniają również izolację na poziomie użytkownika dla działań platformy Spark. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zarządzane prywatne punkty końcowe usługi Synapse powinny łączyć się tylko z zasobami w zatwierdzonych dzierżawach usługi Azure Active Directory | Chroń obszar roboczy usługi Synapse, zezwalając tylko na połączenia z zasobami w zatwierdzonych dzierżawach usługi Azure Active Directory (Azure AD). Zatwierdzone dzierżawy usługi Azure AD można zdefiniować podczas przypisywania zasad. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Ustawienia inspekcji obszaru roboczego usługi Synapse powinny mieć grupy akcji skonfigurowane do przechwytywania krytycznych działań | Aby upewnić się, że dzienniki inspekcji są tak dokładne, jak to możliwe, właściwość AuditActionsAndGroups powinna zawierać wszystkie odpowiednie grupy. Zalecamy dodanie co najmniej SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP i BATCH_COMPLETED_GROUP. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists, Disabled | 1.0.0 |
| Obszary robocze usługi Synapse powinny mieć włączone uwierzytelnianie tylko w usłudze Microsoft Entra | Wymagaj, aby obszary robocze usługi Synapse używały uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia obszarów roboczych z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Synapse powinny używać tylko tożsamości usługi Microsoft Entra do uwierzytelniania podczas tworzenia obszaru roboczego | Wymagaj utworzenia obszarów roboczych usługi Synapse przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Obszary robocze usługi Synapse z inspekcją SQL dla miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji SQL obszaru roboczego usługi Synapse na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists, Disabled | 2.0.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse | Odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach przez skonfigurowanie cyklicznych skanów oceny luk w zabezpieczeniach SQL w obszarach roboczych usługi Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Tagi
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodaj tag do grup zasobów | Powoduje dodanie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów niemającej tego tagu. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. | Modyfikowanie | 1.0.0 |
| Dodaj tag do zasobów | Powoduje dodanie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. Tagi w grupach zasobów nie są modyfikowane. | Modyfikowanie | 1.0.0 |
| Dodawanie tagu do subskrypcji | Dodaje określony tag i wartość do subskrypcji za pośrednictwem zadania korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. Zobacz https://aka.ms/azurepolicyremediation , aby uzyskać więcej informacji na temat korygowania zasad. | Modyfikowanie | 1.0.0 |
| Dodaj lub zamień tag w grupach zasobów | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. | Modyfikowanie | 1.0.0 |
| Dodaj lub zamień tag w zasobach | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnego zasobu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Tagi w grupach zasobów nie są modyfikowane. | Modyfikowanie | 1.0.0 |
| Dodawanie lub zastępowanie tagu w subskrypcjach | Dodaje lub zastępuje określony tag i wartość dla subskrypcji za pośrednictwem zadania korygowania. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. Zobacz https://aka.ms/azurepolicyremediation , aby uzyskać więcej informacji na temat korygowania zasad. | Modyfikowanie | 1.0.0 |
| Dołączaj tag i jego wartość z grupy zasobów | Powoduje dołączenie określonego tagu i jego wartości z grupy zasobów podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Tagi zasobów utworzonych przed zastosowaniem tych zasad nie są modyfikowane do czasu zmiany tych zasobów. Dostępne są nowe zasady efektu "modyfikuj", które obsługują korygowanie tagów w istniejących zasobach (zobacz https://aka.ms/modifydoc). | append | 1.0.0 |
| Dołączaj tag i jego wartość do grup zasobów | Powoduje dołączenie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów niemającej tego tagu. Tagi grup zasobów utworzonych przed zastosowaniem tych zasad nie są modyfikowane do czasu zmiany tych grup zasobów. Dostępne są nowe zasady efektu "modyfikuj", które obsługują korygowanie tagów w istniejących zasobach (zobacz https://aka.ms/modifydoc). | append | 1.0.0 |
| Dołączaj tag i jego wartość do zasobów | Powoduje dołączenie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Tagi zasobów utworzonych przed zastosowaniem tych zasad nie są modyfikowane do czasu zmiany tych zasobów. Te zasady nie dotyczą grup zasobów. Dostępne są nowe zasady efektu "modyfikuj", które obsługują korygowanie tagów w istniejących zasobach (zobacz https://aka.ms/modifydoc). | append | 1.0.1 |
| Dziedzicz tag z grupy zasobów | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości z nadrzędnej grupy zasobów podczas tworzenia lub aktualizowania dowolnego zasobu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. | Modyfikowanie | 1.0.0 |
| Dziedzicz tag z grupy zasobów, jeśli go nie ma | Powoduje dodanie określonego tagu i jego wartości z nadrzędnej grupy zasobów podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. | Modyfikowanie | 1.0.0 |
| Dziedzicz tag z subskrypcji | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości z zawierającej subskrypcji podczas tworzenia lub aktualizowania dowolnego zasobu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. | Modyfikowanie | 1.0.0 |
| Dziedzicz tag z subskrypcji, jeśli go nie ma | Powoduje dodanie określonego tagu i jego wartości z zawierającej subskrypcji podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. | Modyfikowanie | 1.0.0 |
| Wymagaj tagu i jego wartości w grupach zasobów | Wymusza wymagany tag i jego wartość na grupach zasobów. | odmowa | 1.0.0 |
| Wymagaj tagu i jego wartości w zasobach | Wymusza wymagany tag i jego wartość. Te zasady nie dotyczą grup zasobów. | odmowa | 1.0.1 |
| Wymagaj tagu w grupach zasobów | Wymusza obecność tagu w grupach zasobów. | odmowa | 1.0.0 |
| Wymagaj tagu w zasobach | Wymusza istnienie tagu. Te zasady nie dotyczą grup zasobów. | odmowa | 1.0.1 |
Zaufane uruchamianie
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dyski i obraz systemu operacyjnego powinny obsługiwać usługę TrustedLaunch | TrustedLaunch zwiększa bezpieczeństwo maszyny wirtualnej, co wymaga obsługi obrazu systemu operacyjnego i dysku systemu operacyjnego (Gen 2). Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://aka.ms/trustedlaunch | Inspekcja, wyłączone | 1.0.0 |
| Maszyna wirtualna powinna mieć włączoną opcję TrustedLaunch | Włącz pozycję TrustedLaunch na maszynie wirtualnej w celu zapewnienia zwiększonych zabezpieczeń, użyj jednostki SKU maszyny wirtualnej (Gen 2), która obsługuje usługę TrustedLaunch. Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Inspekcja, wyłączone | 1.0.0 |
Wirtualne enklawy
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Skonfiguruj konta magazynu, aby ograniczyć dostęp sieciowy tylko za pośrednictwem konfiguracji listy ACL sieci. | Aby zwiększyć bezpieczeństwo kont magazynu, włącz dostęp tylko za pośrednictwem obejścia listy ACL sieci. Te zasady powinny być używane w połączeniu z prywatnym punktem końcowym na potrzeby dostępu do konta magazynu. | Modyfikowanie, wyłączone | 1.0.0 |
| Nie zezwalaj na tworzenie typów zasobów poza listą dozwolonych | Te zasady uniemożliwiają wdrażanie typów zasobów poza jawnie dozwolonymi typami w celu zachowania zabezpieczeń w wirtualnej enklawie. https://aka.ms/VirtualEnclaves | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Nie zezwalaj na tworzenie określonych typów zasobów lub typów w ramach określonych dostawców | Dostawcy zasobów i typy określone za pośrednictwem listy parametrów nie mogą być tworzone bez jawnego zatwierdzenia przez zespół ds. zabezpieczeń. Jeśli przypisanie zasad zostanie przyznane wykluczenie, zasób można wykorzystać w enklawie. https://aka.ms/VirtualEnclaves | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Interfejsy sieciowe powinny być połączone z zatwierdzoną podsiecią zatwierdzonej sieci wirtualnej | Te zasady blokują nawiązywanie połączenia z siecią wirtualną lub podsiecią, która nie jest zatwierdzona. https://aka.ms/VirtualEnclaves | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy tylko za pośrednictwem konfiguracji pomijania listy ACL sieci. | Aby zwiększyć bezpieczeństwo kont magazynu, włącz dostęp tylko za pośrednictwem obejścia listy ACL sieci. Te zasady powinny być używane w połączeniu z prywatnym punktem końcowym na potrzeby dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Kreator obrazów maszyny wirtualnej
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
Web PubSub
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Web PubSub powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Web PubSub nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługi Azure Web PubSub. Dowiedz się więcej na stronie: https://aka.ms/awps/networkacls. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Web PubSub powinna włączyć dzienniki diagnostyczne | Inspekcja włączania dzienników diagnostycznych. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Web PubSub powinna mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Azure Web PubSub Service wymaga wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Web PubSub powinna używać jednostki SKU obsługującej łącze prywatne | Dzięki obsługiwanej jednostce SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Web PubSub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Web PubSub w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby usługa Azure Web PubSub Service wymagała wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Web PubSub w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi Azure Web PubSub, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/awps/networkacls. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Web PubSub do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania usługi Azure Web PubSub. Dowiedz się więcej na stronie: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Web PubSub z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Azure Web PubSub, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.