Szczegóły wbudowanej inicjatywy CIS Microsoft Azure Foundations Benchmark 1.4.0 Regulatory Compliance

Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w modelu CIS Microsoft Azure Foundations Benchmark 1.4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark 1.4.0. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.

Poniższe mapowania dotyczą kontrolek CIS Microsoft Azure Foundations Benchmark 1.4.0 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy CIS Microsoft Azure Foundations Benchmark w wersji 1.4.0 Zgodność z przepisami.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

1 Zarządzanie tożsamościami i dostępem

Upewnij się, że opcja "Stan uwierzytelniania wieloskładnikowego" ma wartość "Włączone" dla wszystkich uprzywilejowanych użytkowników

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Użytkownicy mogą dodawać aplikacje z galerii do Moje aplikacje" jest ustawiona na wartość "Nie"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.10 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.11 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.11 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie "Ograniczenia dostępu użytkowników-gości" jest ustawione na wartość "Dostęp użytkowników-gości jest ograniczony do właściwości i członkostwa w własnych obiektach katalogu"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.12 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.12 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie "Ograniczenia zapraszania gościa" ma wartość "Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.13 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Ogranicz dostęp do portalu administracyjnego usługi Azure AD" ma wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.14 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.14 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Ogranicz możliwość dostępu użytkowników do funkcji grup w okienku dostępu" ma wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.15 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynach Azure Portal, interfejsie API lub programie PowerShell" jest ustawiona na wartość "Nie"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.16 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Właściciele mogą zarządzać żądaniami członkostwa w grupie w Panel dostępu" jest ustawiona na "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.17 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.17 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynach Azure Portal, interfejsie API lub programie PowerShell" jest ustawiona na wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.18 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń w usłudze Azure AD" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.19 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu zdalnego	CMA_0024 — autoryzowanie dostępu zdalnego	Ręczne, wyłączone	1.1.0
Szkolenie mobilności dokumentów	CMA_0191 — szkolenie mobilności dokumentów	Ręczne, wyłączone	1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego	CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia w zakresie prywatności	CMA_0415 — zapewnianie szkolenia w zakresie prywatności	Ręczne, wyłączone	1.1.0
Spełnianie wymagań dotyczących jakości tokenów	CMA_0487 — spełnianie wymagań dotyczących jakości tokenu	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Stan uwierzytelniania wieloskładnikowego" ma wartość "Włączone" dla wszystkich użytkowników niebędących uprzywilejowanych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.2 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0

Upewnij się, że nie są tworzone żadne niestandardowe role właściciela subskrypcji

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.20 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.20 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienia domyślne zabezpieczeń są włączone w usłudze Azure Active Directory

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.21 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.21 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0
Uwierzytelnianie w module kryptograficznym	CMA_0021 — uwierzytelnianie w module kryptograficznym	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu zdalnego	CMA_0024 — autoryzowanie dostępu zdalnego	Ręczne, wyłączone	1.1.0
Szkolenie mobilności dokumentów	CMA_0191 — szkolenie mobilności dokumentów	Ręczne, wyłączone	1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego	CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia w zakresie prywatności	CMA_0415 — zapewnianie szkolenia w zakresie prywatności	Ręczne, wyłączone	1.1.0
Spełnianie wymagań dotyczących jakości tokenów	CMA_0487 — spełnianie wymagań dotyczących jakości tokenu	Ręczne, wyłączone	1.1.0

Upewnij się, że rola niestandardowa ma przypisane uprawnienia do administrowania blokadami zasobów

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.22 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że użytkownicy-goście są przeglądani co miesiąc

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć	Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami	CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Przeglądanie dzienników aprowizacji kont	CMA_0460 — przeglądanie dzienników aprowizacji kont	Ręczne, wyłączone	1.1.0
Przeglądanie kont użytkowników	CMA_0480 — przeglądanie kont użytkowników	Ręczne, wyłączone	1.1.0
Przeglądanie uprawnień użytkownika	CMA_C1039 — przeglądanie uprawnień użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Przywracanie uwierzytelniania wieloskładnikowego na wszystkich zapamiętanych urządzeniach" jest włączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0
Spełnianie wymagań dotyczących jakości tokenów	CMA_0487 — spełnianie wymagań dotyczących jakości tokenu	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Liczba dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie informacji uwierzytelniania" nie jest ustawiona na wartość "0".

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

Upewnij się, że "Powiadamiaj użytkowników o zresetowaniu haseł?". jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia	CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło?". jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.8 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia	CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Monitorowanie przypisywania ról uprzywilejowanych	CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do uprzywilejowanych kont	CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych	Ręczne, wyłączone	1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami	CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Korzystanie z usługi Privileged Identity Management	CMA_0533 — używanie usługi Privileged Identity Management	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Użytkownicy mogą wyrazić zgodę na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu" jest ustawiona na wartość "Nie"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.9 : współużytkowany)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0

2 Microsoft Defender dla Chmury

Upewnij się, że usługa Microsoft Defender dla serwerów jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.1 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender dla serwerów powinna być włączona	Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań.	AuditIfNotExists, Disabled	1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że wybrano integrację aplikacji Microsoft Defender dla Chmury (MCAS) z Microsoft Defender dla Chmury

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.10 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że automatyczna aprowizacja agenta usługi Log Analytics dla maszyn wirtualnych platformy Azure ma wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.11 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.11 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	Ręczne, wyłączone	1.1.0

Upewnij się, że żadne z domyślnych ustawień zasad usługi ASC nie jest ustawione na wartość "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.12 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie akcji dla niezgodnych urządzeń	CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń	Ręczne, wyłączone	1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia	CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej	Ręczne, wyłączone	1.1.0
Wymuszanie ustawień konfiguracji zabezpieczeń	CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń	Ręczne, wyłączone	1.1.0
Ustanawianie tablicy sterowania konfiguracji	CMA_0254 — ustanawianie tablicy sterowania konfiguracji	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją	CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją	Ręczne, wyłączone	1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Dodatkowe adresy e-mail" jest skonfigurowana przy użyciu poczty e-mail kontaktu zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.13 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami	Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center.	AuditIfNotExists, Disabled	1.0.1

Upewnij się, że ustawienie "Powiadamianie o alertach o następującej ważności" ma wartość "Wysoka"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 2.14 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone	Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center.	AuditIfNotExists, Disabled	1.2.0

Upewnij się, że usługa Microsoft Defender dla usługi App Service jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender for App Service powinna być włączona	Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych.	AuditIfNotExists, Disabled	1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla usługi Azure SQL Databases jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone	Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych.	AuditIfNotExists, Disabled	1.0.2
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla serwerów SQL na maszynach jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach	Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych.	AuditIfNotExists, Disabled	1.0.2
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender for Storage jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Usługa Microsoft Defender for Storage powinna być włączona	Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami.	AuditIfNotExists, Disabled	1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla platformy Kubernetes jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Należy włączyć usługę Microsoft Defender for Containers	Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes.	AuditIfNotExists, Disabled	1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla rejestrów kontenerów jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Należy włączyć usługę Microsoft Defender for Containers	Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes.	AuditIfNotExists, Disabled	1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla usługi Key Vault jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.8 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender dla usługi Key Vault powinna być włączona	Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich.	AuditIfNotExists, Disabled	1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że wybrano integrację Ochrona punktu końcowego w usłudze Microsoft Defender (WDATP) z Microsoft Defender dla Chmury

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.9 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

3 konta magazynu

Upewnij się, że opcja "Wymagany bezpieczny transfer" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0
Bezpieczny transfer do kont magazynu powinien być włączony	Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji	Inspekcja, Odmowa, Wyłączone	2.0.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Blob Service dla żądań "Odczyt", "Zapis" i "Usuń"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.10 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Table Service dla żądań "Odczyt", "Zapis" i "Usuń"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.11 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.11 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że dla ustawienia "Minimalna wersja protokołu TLS" jest ustawiona wartość "Wersja 1.2"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.12 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że klucze dostępu do konta magazynu są okresowo ponownie generowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi kolejki dla żądań "Odczyt", "Zapis" i "Usuń"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że tokeny sygnatury dostępu współdzielonego wygasają w ciągu godziny

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wyłączanie wystawców uwierzytelnień po zakończeniu	CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu	Ręczne, wyłączone	1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami	CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Automatyczne kończenie sesji użytkownika	CMA_C1054 — automatyczne kończenie sesji użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że dla kontenerów obiektów blob ustawiono wartość "Poziom dostępu publicznego"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.5 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony	Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	3.1.0-preview
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu ma ustawioną wartość Odmów

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.6 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta magazynu powinny ograniczać dostęp sieciowy	Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych	Inspekcja, Odmowa, Wyłączone	1.1.1
Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej	Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu.	Inspekcja, Odmowa, Wyłączone	1.0.1

Upewnij się, że opcja "Zaufane usługi firmy Microsoft" jest włączona dla dostępu do konta magazynu

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.7 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Ustanawianie standardów konfiguracji zapory i routera	CMA_0272 — ustanawianie standardów konfiguracji zapory i routera	Ręczne, wyłączone	1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty	CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart	Ręczne, wyłączone	1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	Ręczne, wyłączone	1.1.0
Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft	Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu.	Inspekcja, Odmowa, Wyłączone	1.0.0

Upewnij się, że magazyn danych krytycznych jest szyfrowany przy użyciu kluczy zarządzanych przez klienta

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 3.9 : własność udostępniona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania	Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych.	Inspekcja, wyłączone	1.0.3

4 Usługi baz danych

Upewnij się, że właściwość "Inspekcja" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Inspekcja na serwerze SQL powinna być włączona	Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji.	AuditIfNotExists, Disabled	2.0.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Szyfrowanie danych" jest ustawiona na wartość "Włączone" w usłudze SQL Database

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL	Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności	AuditIfNotExists, Disabled	2.0.0

Upewnij się, że przechowywanie "Inspekcja" jest "większe niż 90 dni"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji	CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji	Ręczne, wyłączone	1.1.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym	W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi.	AuditIfNotExists, Disabled	3.0.0

Upewnij się, że opcja Advanced Threat Protection (ATP) w programie SQL Server jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL	Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security	AuditIfNotExists, Disabled	2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL	Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych.	AuditIfNotExists, Disabled	1.0.2
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0

Upewnij się, że ocena luk w zabezpieczeniach jest włączona na serwerze SQL, ustawiając konto magazynu

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance	Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	1.0.1
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL	Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	3.0.0

Upewnij się, że ustawienie oceny luk w dostępności "Okresowe skanowanie cykliczne" na "włączone" dla każdego serwera SQL

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie oceny luk w zabezpieczeń "Wysyłanie raportów skanowania do" jest skonfigurowane dla serwera SQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korelowanie informacji o skanowaniu luk w zabezpieczeniach	CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach	Ręczne, wyłączone	1.1.1
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie oceny luk w zabezpieczeniach "Wyślij również powiadomienia e-mail do administratorów i właścicieli subskrypcji" jest ustawione dla każdego programu SQL Server

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korelowanie informacji o skanowaniu luk w zabezpieczeniach	CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach	Ręczne, wyłączone	1.1.1
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że dla serwera bazy danych PostgreSQL ustawiono wartość "Wymuszaj połączenie SSL"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL	Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych.	Inspekcja, wyłączone	1.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_checkpoints" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints.	AuditIfNotExists, Disabled	1.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_connections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections.	AuditIfNotExists, Disabled	1.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_disconnections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL.	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections.	AuditIfNotExists, Disabled	1.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "connection_throttling" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Należy włączyć ograniczanie połączeń dla serwerów baz danych PostgreSQL	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania połączeń. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł.	AuditIfNotExists, Disabled	1.0.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_retention_days" jest dłuższy niż 3 dni dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji	CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji	Ręczne, wyłączone	1.1.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja Zezwalaj na dostęp do usług platformy Azure dla serwera bazy danych PostgreSQL jest wyłączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Ustanawianie standardów konfiguracji zapory i routera	CMA_0272 — ustanawianie standardów konfiguracji zapory i routera	Ręczne, wyłączone	1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty	CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart	Ręczne, wyłączone	1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Podwójne szyfrowanie infrastruktury" dla serwera bazy danych PostgreSQL jest włączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.8 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

Upewnij się, że dla serwera bazy danych MySQL w warstwie Standardowa ustawiono wartość "Wymuszaj połączenie SSL"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 4.4.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że dla elastycznego serwera bazy danych MySQL ustawiono wartość "WERSJA PROTOKOŁU TLS 1.2"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.4.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że skonfigurowano administratora usługi Azure Active Directory

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 4.5 : własność udostępniona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL	Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft	AuditIfNotExists, Disabled	1.0.0
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

Upewnij się, że funkcja ochrony TDE serwera SQL jest szyfrowana przy użyciu klucza zarządzanego przez klienta

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.6 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 4.6 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności.	Inspekcja, Odmowa, Wyłączone	2.0.0
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności.	Inspekcja, Odmowa, Wyłączone	2.0.1

5 Rejestrowanie i monitorowanie

Upewnij się, że istnieje ustawienie diagnostyki

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie diagnostyczne przechwytuje odpowiednie kategorie

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że kontener magazynu przechowując dzienniki aktywności nie jest publicznie dostępny

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony	Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	3.1.0-preview
Włączanie autoryzacji podwójnej lub wspólnej	CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji	Ręczne, wyłączone	1.1.0
Ochrona informacji inspekcji	CMA_0401 — ochrona informacji inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK (Użyj własnego klucza)

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Włączanie autoryzacji podwójnej lub wspólnej	CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji	Ręczne, wyłączone	1.1.0
Zachowaj integralność systemu inspekcji	CMA_C1133 — utrzymywanie integralności systemu inspekcji	Ręczne, wyłączone	1.1.0
Ochrona informacji inspekcji	CMA_0401 — ochrona informacji inspekcji	Ręczne, wyłączone	1.1.0
Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK	Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0

Upewnij się, że rejestrowanie dla usługi Azure KeyVault jest włączone

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla tworzenia przypisania zasad

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad	Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	3.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla przypisania zasad usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad	Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	3.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla usuwania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że dla reguły usuwania sieciowej grupy zabezpieczeń istnieje alert dziennika aktywności

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania Tworzenia lub aktualizowania zabezpieczeń

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń	Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania zabezpieczeń usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń	Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że dla reguły zapory programu SQL Server istnieje alert tworzenia lub aktualizowania lub usuwania dziennika aktywności

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 5.2.9 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że dzienniki diagnostyczne są włączone dla wszystkich usług, które je obsługują.

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared (CiS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów	Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona.	AuditIfNotExists, Disabled	2.0.1
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji	CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji	Ręczne, wyłączone	1.1.0
Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów na kontach usługi Batch powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w centrum zdarzeń powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze IoT Hub powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	3.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Logic Apps powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.1.0
Dzienniki zasobów w usługa wyszukiwania powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Service Bus powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

6 Sieci

Upewnij się, że żadne bazy danych SQL nie zezwalają na ruch przychodzący 0.0.0.0/0 (DOWOLNY adres IP)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.3 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 6.3 : własność udostępniona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0

Upewnij się, że okres przechowywania dziennika przepływu sieciowej grupy zabezpieczeń wynosi "więcej niż 90 dni"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Network Watcher jest włączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Network Watcher powinna być włączona	Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie.	AuditIfNotExists, Disabled	3.0.0
Weryfikowanie funkcji zabezpieczeń	CMA_C1708 — weryfikowanie funkcji zabezpieczeń	Ręczne, wyłączone	1.1.0

7 Maszyny wirtualne

Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych	Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych	inspekcje	1.0.0
Kontrolowanie dostępu fizycznego	CMA_0081 — kontrolowanie dostępu fizycznego	Ręczne, wyłączone	1.1.0
Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych	CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych	Ręczne, wyłączone	1.1.0
Przeglądanie działań i analiz etykiet	CMA_0474 — przeglądanie działań i analiz etykiet	Ręczne, wyłączone	1.1.0

Upewnij się, że dyski systemu operacyjnego i danych są szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

Upewnij się, że "Niedołączone dyski" są szyfrowane przy użyciu klucza zarządzanego przez klienta

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.3 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

Upewnij się, że zainstalowane są tylko zatwierdzone rozszerzenia

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej	Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone.	Inspekcja, Odmowa, Wyłączone	1.0.0

Upewnij się, że zastosowano najnowsze poprawki systemu operacyjnego dla wszystkich maszyn wirtualnych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.5 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Aktualizacje systemu powinny być instalowane na maszynach	Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia	AuditIfNotExists, Disabled	4.0.0

Upewnij się, że jest zainstalowana ochrona punktu końcowego dla wszystkich maszyn wirtualnych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	Ręczne, wyłączone	1.1.0

Upewnij się, że dyski VHD są szyfrowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

8 Inne zagadnienia dotyczące zabezpieczeń

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich kluczy w magazynach kluczy RBAC

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Klucze usługi Key Vault powinny mieć datę wygaśnięcia	Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich kluczy w magazynach kluczy innych niż RBAC.

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Klucze usługi Key Vault powinny mieć datę wygaśnięcia	Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich wpisów tajnych w magazynach kluczy RBAC

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.3 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia	Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich wpisów tajnych w magazynach kluczy innych niż RBAC

IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 8.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia	Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że blokady zasobów zostały ustawione dla zasobów platformy Azure o znaczeniu krytycznym

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że magazyn kluczy można odzyskać

Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 8.6: współdzielona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Magazyny kluczy powinny mieć włączoną ochronę usuwania	Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe.	Inspekcja, Odmowa, Wyłączone	2.1.0
Utrzymywanie dostępności informacji	CMA_C1644 — utrzymywanie dostępności informacji	Ręczne, wyłączone	1.1.0

Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.7 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0
Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services	Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji.	Inspekcja, wyłączone	1.0.4

9 AppService

Upewnij się, że uwierzytelnianie usługi App Service jest skonfigurowane dla aplikacji w usłudze aplikacja systemu Azure Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie	aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej.	AuditIfNotExists, Disabled	2.0.1
Uwierzytelnianie w module kryptograficznym	CMA_0021 — uwierzytelnianie w module kryptograficznym	Ręczne, wyłączone	1.1.0
Wymuszanie unikatowości użytkownika	CMA_0250 — wymuszanie unikatowości użytkownika	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny mieć włączone uwierzytelnianie	aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji.	AuditIfNotExists, Disabled	3.0.0
Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne	CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne	Ręczne, wyłączone	1.1.0

Upewnij się, że wdrożenia FTP są wyłączone

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS	Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń.	AuditIfNotExists, Disabled	3.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny wymagać tylko protokołu FTPS	Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń.	AuditIfNotExists, Disabled	3.0.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że magazyny kluczy platformy Azure są używane do przechowywania wpisów tajnych

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.11 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją	CMA_C1199 — upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Utrzymywanie dostępności informacji	CMA_C1644 — utrzymywanie dostępności informacji	Ręczne, wyłączone	1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że aplikacja internetowa przekierowuje cały ruch HTTP do protokołu HTTPS w usłudze aplikacja systemu Azure

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 9.2 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS	Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej.	Inspekcja, Wyłączone, Odmowa	4.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że aplikacja internetowa korzysta z najnowszej wersji szyfrowania TLS

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS	Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji.	AuditIfNotExists, Disabled	2.0.1
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS	Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji.	AuditIfNotExists, Disabled	2.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)" na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)"	Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta.	Inspekcja, wyłączone	3.1.0 — przestarzałe
Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta)	Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1.	AuditIfNotExists, Disabled	1.0.0
Uwierzytelnianie w module kryptograficznym	CMA_0021 — uwierzytelnianie w module kryptograficznym	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja Rejestrowanie w usłudze Azure Active Directory jest włączona w usłudze App Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny używać tożsamości zarządzanej	Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania	AuditIfNotExists, Disabled	3.0.0
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej	Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania	AuditIfNotExists, Disabled	3.0.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Wersja PHP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.6 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 9.6 : własność udostępniona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że "Wersja języka Python" jest najnowszą stabilną wersją, jeśli jest używana do uruchamiania aplikacji internetowej

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.7 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.7 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że wersja języka Java jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.8 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Wersja HTTP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.9: współdzielona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP	Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji.	AuditIfNotExists, Disabled	4.0.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP	Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji.	AuditIfNotExists, Disabled	4.0.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy:

• Omówienie zgodności z przepisami .
• Zobacz strukturę definicji inicjatywy.
• Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
• Przejrzyj wyjaśnienie działania zasad.
• Dowiedz się, jak korygować niezgodne zasoby.