Szczegóły wbudowanej inicjatywy zgodności z przepisami NIST SP 800-53 rev. 5 (Azure Government)
Poniższy artykuł zawiera szczegółowe informacje na temat sposobu mapowania wbudowanej definicji inicjatywy zgodności usługi Azure Policy na domeny zgodności i mechanizmy kontroli w programie NIST SP 800-53 Rev. 5 (Azure Government). Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 5. Aby zrozumieć własność, zobacz Definicje zasad usługi Azure Policy i Wspólna odpowiedzialność w chmurze.
Następujące mapowania dotyczą kontrolek NIST SP 800-53 Rev. 5 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy NIST SP 800-53 Rev. 5 Regulatory Compliance.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
Kontrola dostępu
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 AC-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1000 — wymagania dotyczące zasad i procedur kontroli dostępu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1001 — wymagania dotyczące zasad i procedur kontroli dostępu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Zarządzanie kontem
ID: NIST SP 800-53 Rev. 5 AC-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Managed Control 1002 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1003 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1004 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1005 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1006 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1007 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1008 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1009 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1010 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1011 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1012 — Zarządzanie kontami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1022 — Zarządzanie kontami | Zakończenie poświadczeń konta udostępnionego/grupy | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Automatyczne zarządzanie kontami systemu
ID: NIST SP 800-53 Rev. 5 AC-2 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Microsoft Managed Control 1013 — Zarządzanie kontami | Automatyczne zarządzanie kontami systemu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Automatyczne zarządzanie kontami tymczasowymi i awaryjnymi
ID: NIST SP 800-53 Rev. 5 AC-2 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1014 — Zarządzanie kontami | Usuwanie kont tymczasowych/nadzwyczajnych | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Wyłączanie kont
ID: NIST SP 800-53 Rev. 5 AC-2 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1015 — Zarządzanie kontami | Wyłączanie nieaktywnych kont | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Zautomatyzowane akcje inspekcji
ID: NIST SP 800-53 Rev. 5 AC-2 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1016 — Zarządzanie kontami | Zautomatyzowane akcje inspekcji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Wylogowywanie braku aktywności
ID: NIST SP 800-53 Rev. 5 AC-2 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1017 — Zarządzanie kontami | Wylogowywanie braku aktywności | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Uprzywilejowane konta użytkowników
ID: NIST SP 800-53 Rev. 5 AC-2 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Microsoft Managed Control 1018 — Zarządzanie kontami | Schematy oparte na rolach | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1019 — Zarządzanie kontami | Schematy oparte na rolach | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1020 — Zarządzanie kontami | Schematy oparte na rolach | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Ograniczenia dotyczące korzystania z kont udostępnionych i grupowych
ID: NIST SP 800-53 Rev. 5 AC-2 (9) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1021 — Zarządzanie kontami | Ograniczenia dotyczące korzystania z kont udostępnionych/grupowych | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Warunki użycia
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 AC-2 (11) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1023 — Zarządzanie kontami | Warunki użycia | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Monitorowanie konta dla nietypowego użycia
ID: NIST SP 800-53 Rev. 5 AC-2 (12) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1—wersja zapoznawcza |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1024 — Zarządzanie kontami | Monitorowanie konta/nietypowe użycie | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1025 — Zarządzanie kontami | Monitorowanie konta/nietypowe użycie | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Wyłączanie kont dla osób o wysokim ryzyku
ID: NIST SP 800-53 Rev. 5 AC-2 (13) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1026 — Zarządzanie kontami | Wyłączanie kont dla osób o wysokim ryzyku | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Wymuszanie dostępu
ID: NIST SP 800-53 Rev. 5 AC-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja maszyn z systemem Linux z kontami bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł | AuditIfNotExists, Disabled | 1.4.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1027 — wymuszanie dostępu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Kontrola dostępu na podstawie ról
ID: NIST SP 800-53 Rev. 5 AC-3 (7) Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
Wymuszanie przepływu informacji
ID: NIST SP 800-53 Rev. 5 AC-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.0 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 1.4.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1028 — wymuszanie przepływu informacji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
Kontrolka przepływu informacji dynamicznych
ID: NIST SP 800-53 Rev. 5 AC-4 (3) Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
Filtry zasad zabezpieczeń i prywatności
ID: NIST SP 800-53 Rev. 5 AC-4 (8) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1029 — Wymuszanie przepływu informacji | Filtry zasad zabezpieczeń | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Fizyczne lub logiczne rozdzielenie przepływów informacji
ID: NIST SP 800-53 Rev. 5 AC-4 (21) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1030 — Wymuszanie przepływu informacji | Fizyczne/logiczne rozdzielenie przepływów informacji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Rozdzielenie obowiązków
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 AC-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 — rozdzielenie obowiązków | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1032 — rozdzielenie obowiązków | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1033 — rozdzielenie obowiązków | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
Najmniej uprzywilejowane
ID: NIST SP 800-53 Rev. 5 AC-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Microsoft Managed Control 1034 — najniższy dostęp | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Autoryzowanie dostępu do funkcji zabezpieczeń
ID: NIST SP 800-53 Rev. 5 AC-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1035 — najniższy dostęp | Autoryzowanie dostępu do funkcji zabezpieczeń | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Dostęp nieuprzywilejowany dla funkcji niezwiązanych z zabezpieczeniami
ID: NIST SP 800-53 Rev. 5 AC-6 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1036 — najniższy dostęp | Dostęp nieuprzywilejowany dla funkcji niezwiązanych z zabezpieczeniami | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Dostęp sieciowy do poleceń uprzywilejowanych
ID: NIST SP 800-53 Rev. 5 AC-6 (3) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1037 — najniższy dostęp | Dostęp sieciowy do poleceń uprzywilejowanych | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Uprzywilejowane konta
ID: NIST SP 800-53 Rev. 5 AC-6 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrola zarządzana firmy Microsoft 1038 — najmniejsza liczba uprawnień | Uprzywilejowane konta | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Przegląd uprawnień użytkownika
ID: NIST SP 800-53 Rev. 5 AC-6 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Kontrola zarządzana firmy Microsoft 1039 — najmniejsza liczba uprawnień | Przegląd uprawnień użytkownika | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Kontrola zarządzana firmy Microsoft 1040 — najniższy dostęp | Przegląd uprawnień użytkownika | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Poziomy uprawnień na potrzeby wykonywania kodu
ID: NIST SP 800-53 Rev. 5 AC-6 (8) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrola zarządzana przez firmę Microsoft 1041 — najniższy dostęp | Poziomy uprawnień na potrzeby wykonywania kodu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Korzystanie z funkcji uprzywilejowanych w dzienniku
ID: NIST SP 800-53 Rev. 5 AC-6 (9) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1042 — Najniższy dostęp | Inspekcja użycia funkcji uprzywilejowanych | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Uniemożliwianie użytkownikom niebędącym uprzywilejowanym wykonywaniem funkcji uprzywilejowanych
ID: NIST SP 800-53 Rev. 5 AC-6 (10) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1043 — najniższy dostęp | Uniemożliwianie użytkownikom niebędącym uprzywilejowanym wykonywaniem funkcji uprzywilejowanych | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Nieudane próby logowania
ID: NIST SP 800-53 Rev. 5 AC-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1044 — nieudane próby logowania | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1045 — nieudane próby logowania | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Przeczyszczanie lub czyszczenie urządzenia przenośnego
ID: NIST SP 800-53 Rev. 5 AC-7 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1046 — nieudane próby logowania | Przeczyszczanie/czyszczenie urządzenia przenośnego | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Powiadomienie o użyciu systemu
ID: NIST SP 800-53 Rev. 5 AC-8 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 — powiadomienie o użyciu systemu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1048 — powiadomienie o użyciu systemu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1049 — powiadomienie o użyciu systemu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Współbieżna kontrola sesji
ID: NIST SP 800-53 Rev. 5 AC-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 — współbieżna kontrola sesji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Blokada urządzenia
ID: NIST SP 800-53 Rev. 5 AC-11 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 — blokada sesji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1052 — blokada sesji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Wyświetlanie ukrywania wzorca
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 AC-11 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1053 — Blokada sesji | Wyświetlanie ukrywania wzorca | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Zakończenie sesji
ID: NIST SP 800-53 Rev. 5 AC-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 — zakończenie sesji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Wylogowywanie inicjowane przez użytkownika
ID: NIST SP 800-53 Rev. 5 AC-12 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1055 — Zakończenie sesji| Wylogowywanie inicjowane przez użytkownika/wyświetlanie komunikatów | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1056 — zakończenie sesji | Wylogowywanie inicjowane przez użytkownika/wyświetlanie komunikatów | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Dozwolone akcje bez identyfikacji lub uwierzytelniania
ID: NIST SP 800-53 Rev. 5 AC-14 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 — dozwolone akcje bez identyfikacji lub uwierzytelniania | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1058 — dozwolone akcje bez identyfikacji lub uwierzytelniania | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Atrybuty zabezpieczeń i prywatności
ID: NIST SP 800-53 Rev. 5 AC-16 Ownership: Customer
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Dostęp zdalny
ID: NIST SP 800-53 Rev. 5 AC-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 1.4.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Microsoft Managed Control 1059 — dostęp zdalny | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1060 — dostęp zdalny | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Monitorowanie i kontrolowanie
ID: NIST SP 800-53 Rev. 5 AC-17 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 1.4.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Microsoft Managed Control 1061 — dostęp zdalny | Automatyczne monitorowanie/sterowanie | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Ochrona poufności i integralności przy użyciu szyfrowania
ID: NIST SP 800-53 Rev. 5 AC-17 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1062 — dostęp zdalny | Ochrona poufności/integralności przy użyciu szyfrowania | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Zarządzane punkty kontroli dostępu
ID: NIST SP 800-53 Rev. 5 AC-17 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1063 — dostęp zdalny | Zarządzane punkty kontroli dostępu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Polecenia uprzywilejowane i dostęp
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 AC-17 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1064 — dostęp zdalny | Polecenia uprzywilejowane /dostęp | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1065 — dostęp zdalny | Polecenia uprzywilejowane /dostęp | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Rozłączanie lub wyłączanie dostępu
ID: NIST SP 800-53 Rev. 5 AC-17 (9) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1066 — dostęp zdalny | Rozłączanie/wyłączanie dostępu | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Dostęp bezprzewodowy
ID: NIST SP 800-53 Rev. 5 AC-18 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1067 — ograniczenia dostępu bezprzewodowego | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1068 — ograniczenia dostępu bezprzewodowego | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Uwierzytelnianie i szyfrowanie
ID: NIST SP 800-53 Rev. 5 AC-18 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1069 — ograniczenia dostępu bezprzewodowego | Uwierzytelnianie i szyfrowanie | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Wyłącz sieć bezprzewodową
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 AC-18 (3) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1070 — ograniczenia dostępu bezprzewodowego | Wyłącz sieć bezprzewodową | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Ograniczanie konfiguracji według użytkowników
ID: NIST SP 800-53 Rev. 5 AC-18 (4) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1071 — ograniczenia dostępu bezprzewodowego | Ogranicz konfiguracje według użytkowników | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Anteny i poziomy zasilania transmisji
ID: NIST SP 800-53 Rev. 5 AC-18 (5) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1072 — Ograniczenia dostępu bezprzewodowego | Anteny / poziomy zasilania transmisji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Kontrola dostępu dla urządzeń przenośnych
ID: NIST SP 800-53 Rev. 5 AC-19 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1073 — kontrola dostępu dla przenośnych i mobilnych systemów | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1074 — Kontrola dostępu dla przenośnych i mobilnych systemów | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Pełne szyfrowanie urządzenia lub kontenera
ID: NIST SP 800-53 Rev. 5 AC-19 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1075 — Kontrola dostępu dla przenośnych i mobilnych systemów | Pełne szyfrowanie urządzenia/oparte na kontenerze | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Korzystanie z systemów zewnętrznych
ID: NIST SP 800-53 Rev. 5 AC-20 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 — korzystanie z zewnętrznych systemów informacyjnych | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1077 — korzystanie z zewnętrznych systemów informacyjnych | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Limity użycia autoryzowanego
ID: NIST SP 800-53 Rev. 5 AC-20 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1078 — korzystanie z systemów informacji zewnętrznych | Limity dotyczące autoryzowanego użycia | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1079 — korzystanie z systemów informacji zewnętrznych | Limity dotyczące autoryzowanego użycia | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Przenośne urządzenia magazynujące ??? Używanie z ograniczeniami
ID: NIST SP 800-53 Rev. 5 AC-20 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1080 — korzystanie z systemów informacji zewnętrznych | Przenośne urządzenia magazynujące | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Udostępnianie informacji
ID: NIST SP 800-53 Rev. 5 AC-21 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 — Udostępnianie informacji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1082 — Udostępnianie informacji | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Publicznie dostępna zawartość
ID: NIST SP 800-53 Rev. 5 AC-22 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 — publicznie dostępna zawartość | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1084 — publicznie dostępna zawartość | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1085 — publicznie dostępna zawartość | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1086 — publicznie dostępna zawartość | Firma Microsoft implementuje tę kontrolę dostępu | inspekcje | 1.0.0 |
Świadomość i szkolenie
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 AT-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 — zasady i procedury dotyczące świadomości zabezpieczeń i szkoleń | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1088 — Zasady i procedury dotyczące świadomości zabezpieczeń i szkoleń | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
Szkolenia i świadomość umiejętności czytania i pisania
ID: NIST SP 800-53 Rev. 5 AT-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1089 — Świadomość zabezpieczeń | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1090 — Świadomość zabezpieczeń | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1091 — Świadomość zabezpieczeń | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
Zagrożenie dla niejawnych testerów
ID: NIST SP 800-53 Rev. 5 AT-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1092 — Security Awareness | Zagrożenie dla niejawnych testerów | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
Trenowanie oparte na rolach
ID: NIST SP 800-53 Rev. 5 AT-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 — szkolenie w zakresie zabezpieczeń oparte na rolach | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1094 — szkolenie w zakresie zabezpieczeń oparte na rolach | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1095 — szkolenie w zakresie zabezpieczeń oparte na rolach | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
Ćwiczenia praktyczne
ID: NIST SP 800-53 Rev. 5 AT-3 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1096 — szkolenie w zakresie zabezpieczeń opartych na rolach | Ćwiczenia praktyczne | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
Rekordy dotyczące szkoleń
ID: NIST SP 800-53 Rev. 5 AT-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 — rekordy szkoleniowe dotyczące zabezpieczeń | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1099 — rekordy szkoleniowe dotyczące zabezpieczeń | Firma Microsoft implementuje tę kontrolę świadomości i szkolenia | inspekcje | 1.0.0 |
Inspekcja i odpowiedzialność
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 AU-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 — zasady i procedury inspekcji i odpowiedzialności | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1101 — Zasady i procedury inspekcji i odpowiedzialności | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Rejestrowanie zdarzeń
ID: NIST SP 800-53 Rev. 5 AU-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 — Zdarzenia inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1103 — Zdarzenia inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1104 — Zdarzenia inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1105 — Zdarzenia inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1106 — Zdarzenia inspekcji | Recenzje i Aktualizacje | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Zawartość rekordów inspekcji
ID: NIST SP 800-53 Rev. 5 AU-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 — zawartość rekordów inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Dodatkowe informacje o inspekcji
ID: NIST SP 800-53 Rev. 5 AU-3 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1108 — zawartość rekordów inspekcji | Dodatkowe informacje o inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Inspekcja pojemności magazynu dzienników
ID: NIST SP 800-53 Rev. 5 AU-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 — Inspekcja pojemności magazynu | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Reagowanie na błędy procesu rejestrowania inspekcji
ID: NIST SP 800-53 Rev. 5 AU-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 — odpowiedź na błędy przetwarzania inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1112 — odpowiedź na błędy przetwarzania inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Ostrzeżenie dotyczące pojemności magazynu
ID: NIST SP 800-53 Rev. 5 AU-5 (1) Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1113 — odpowiedź na błędy przetwarzania inspekcji | Inspekcja pojemności magazynu | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Alerty w czasie rzeczywistym
ID: NIST SP 800-53 Rev. 5 AU-5 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1114 — odpowiedź na błędy przetwarzania inspekcji | Alerty w czasie rzeczywistym | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Przegląd, analiza i raportowanie rekordów inspekcji
ID: NIST SP 800-53 Rev. 5 AU-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1115 — przegląd inspekcji, analiza i raportowanie | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1116 — przegląd inspekcji, analiza i raportowanie | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1123 — Przegląd inspekcji, analiza i raportowanie | Korekta poziomu inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
Automatyczna integracja procesów
ID: NIST SP 800-53 Rev. 5 AU-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1117 — przegląd inspekcji, analiza i raportowanie | Integracja procesów | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Korelowanie repozytoriów rekordów inspekcji
ID: NIST SP 800-53 Rev. 5 AU-6 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1118 — Przegląd inspekcji, analiza i raportowanie | Korelowanie repozytoriów inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Centralny przegląd i analiza
ID: NIST SP 800-53 Rev. 5 AU-6 (4) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1119 — przegląd inspekcji, analiza i raportowanie | Centralny przegląd i analiza | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Zintegrowana analiza rekordów inspekcji
ID: NIST SP 800-53 Rev. 5 AU-6 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1120 — Przegląd inspekcji, analiza i raportowanie | Możliwości integracji/skanowania i monitorowania | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Korelacja z monitorowaniem fizycznym
ID: NIST SP 800-53 Rev. 5 AU-6 (6) Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1121 — Przegląd inspekcji, analiza i raportowanie | Korelacja z monitorowaniem fizycznym | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Dozwolone akcje
ID: NIST SP 800-53 Rev. 5 AU-6 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1122 — Przegląd inspekcji, analiza i raportowanie | Dozwolone akcje | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Redukcja rekordów inspekcji i generowanie raportów
ID: NIST SP 800-53 Rev. 5 AU-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 — redukcja inspekcji i generowanie raportów | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1125 — redukcja inspekcji i generowanie raportów | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Automatyczne przetwarzanie
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 AU-7 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1126 — Redukcja inspekcji i generowanie raportów | Automatyczne przetwarzanie | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Sygnatury czasowe
ID: NIST SP 800-53 Rev. 5 AU-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 — sygnatury czasowe | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1128 — sygnatury czasowe | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Ochrona informacji o inspekcji
ID: NIST SP 800-53 Rev. 5 AU-9 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 — ochrona informacji o inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Przechowywanie w oddzielnych systemach fizycznych lub składnikach
ID: NIST SP 800-53 Rev. 5 AU-9 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1132 — ochrona informacji o inspekcji | Inspekcja kopii zapasowej w oddzielnych systemach fizycznych/ składnikach | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Ochrona kryptograficzna
ID: NIST SP 800-53 Rev. 5 AU-9 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1133 — ochrona informacji o inspekcji | Ochrona kryptograficzna | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Dostęp według podzestawu uprzywilejowanych użytkowników
ID: NIST SP 800-53 Rev. 5 AU-9 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1134 — Ochrona informacji o inspekcji | Dostęp według podzestawu uprzywilejowanych użytkowników | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Niemożność wyparcia się
ID: NIST SP 800-53 Rev. 5 AU-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 — brak odrzucenia | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Przechowywanie rekordów inspekcji
ID: NIST SP 800-53 Rev. 5 AU-11 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 — przechowywanie rekordów inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists, Disabled | 3.0.0 |
Generowanie rekordów inspekcji
ID: NIST SP 800-53 Rev. 5 AU-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1137 — generowanie inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1138 — generowanie inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Microsoft Managed Control 1139 — generowanie inspekcji | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Dziennik inspekcji skorelowany przez cały system i czas
ID: NIST SP 800-53 Rev. 5 AU-12 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1140 — Generowanie inspekcji | Dziennik inspekcji skorelowany przez system/czas | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Zmiany autoryzowanej osoby
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 AU-12 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1141 — Generowanie inspekcji | Zmiany autoryzowanej osoby | Firma Microsoft implementuje tę kontrolę inspekcji i odpowiedzialności | inspekcje | 1.0.0 |
Ocena, autoryzacja i monitorowanie
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 CA-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1142 — certyfikacja, autoryzacja, zasady i procedury oceny zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1143 — certyfikacja, autoryzacja, zasady i procedury oceny zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Oceny kontroli
Identyfikator: NIST SP 800-53 Rev. 5 CA-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1144 — Oceny zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1145 — Oceny zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1146 — Oceny zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1147 — Oceny zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Niezależni asesorzy
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CA-2 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1148 — Oceny zabezpieczeń | Niezależni asesorzy | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Wyspecjalizowane oceny
Identyfikator: NIST SP 800-53 Rev. 5 CA-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1149 — Oceny zabezpieczeń | Wyspecjalizowane oceny | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Korzystanie z wyników z organizacji zewnętrznych
Identyfikator: NIST SP 800-53 Rev. 5 CA-2 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1150 — Oceny zabezpieczeń | Organizacje zewnętrzne | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Wymiana informacji
ID: NIST SP 800-53 Rev. 5 CA-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1151 — Połączenia systemowe | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1152 — Połączenia systemowe | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1153 — Połączenia systemowe | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Planowanie działań i punktów kontrolnych
Identyfikator: NIST SP 800-53 Rev. 5 CA-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 — planowanie działań i kamieni milowych | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1157 — plan działania i kamieni milowych | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Autoryzacja
Identyfikator: NIST SP 800-53 Rev. 5 CA-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1158 — autoryzacja zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1159 — autoryzacja zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1160 — autoryzacja zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Ciągłe monitorowanie
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CA-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 — ciągłe monitorowanie | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1162 — ciągłe monitorowanie | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1163 — ciągłe monitorowanie | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1164 — ciągłe monitorowanie | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1165 — ciągłe monitorowanie | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1166 — ciągłe monitorowanie | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1167 — ciągłe monitorowanie | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Niezależna ocena
Identyfikator: NIST SP 800-53 Rev. 5 CA-7 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1168 — ciągłe monitorowanie | Niezależna ocena | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Analizy trendów
Id: NIST SP 800-53 Rev. 5 CA-7 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1169 — ciągłe monitorowanie | Analizy trendów | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Testy penetracyjne
ID: NIST SP 800-53 Rev. 5 CA-8 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 — testy penetracyjne | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Niezależny agent testów penetracyjnych lub zespół
ID: NIST SP 800-53 Rev. 5 CA-8 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1171 — Testy penetracyjne | Niezależny agent penetracyjnych lub zespół | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Połączenie systemu wewnętrznego
Id: NIST SP 800-53 Rev. 5 CA-9 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 — Połączenie systemu wewnętrznego | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1173 — wewnętrzne Połączenie systemu | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
Zarządzanie konfiguracją
Zasady i procedury
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-1 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 — Zasady i procedury zarządzania konfiguracją | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1175 — zasady i procedury zarządzania konfiguracją | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Konfiguracja punktu odniesienia
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-2 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 — konfiguracja punktu odniesienia | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1177 — Konfiguracja linii bazowej | Recenzje i Aktualizacje | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1178 — konfiguracja punktu odniesienia | Recenzje i Aktualizacje | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1179 — konfiguracja punktu odniesienia | Recenzje i Aktualizacje | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Obsługa automatyzacji dla dokładności i waluty
ID: NIST SP 800-53 Rev. 5 CM-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1180 — Konfiguracja linii bazowej | Obsługa automatyzacji pod kątem dokładności/waluty | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Przechowywanie poprzednich konfiguracji
ID: NIST SP 800-53 Rev. 5 CM-2 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1181 — Konfiguracja punktu odniesienia | Przechowywanie poprzednich konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Konfigurowanie systemów i składników dla obszarów wysokiego ryzyka
ID: NIST SP 800-53 Rev. 5 CM-2 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1182 — Konfiguracja linii bazowej | Konfigurowanie systemów, składników lub urządzeń dla obszarów wysokiego ryzyka | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1183 — konfiguracja punktu odniesienia | Konfigurowanie systemów, składników lub urządzeń dla obszarów wysokiego ryzyka | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Kontrolka zmiany konfiguracji
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-3 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1184 — Kontrola zmian konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1185 — kontrola zmiany konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1186 — Kontrola zmian konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1187 — Kontrola zmian konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1188 — Kontrola zmian konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1189 — Kontrola zmian konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1190 — Kontrola zmian konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Zautomatyzowana dokumentacja, powiadomienia i zakaz zmian
ID: NIST SP 800-53 Rev. 5 CM-3 (1) Własność: Współdzielona
Testowanie, walidacja i dokumentacja zmian
ID: NIST SP 800-53 Rev. 5 CM-3 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1197 — Kontrola zmian konfiguracji | Testowanie/weryfikowanie/zmienianie dokumentów | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Przedstawiciele ds. zabezpieczeń i prywatności
ID: NIST SP 800-53 Rev. 5 CM-3 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1198 — Kontrola zmian konfiguracji | Przedstawiciel ds. zabezpieczeń | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Zarządzanie kryptografią
ID: NIST SP 800-53 Rev. 5 CM-3 (6) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1199 — Kontrola zmiany konfiguracji | Zarządzanie kryptografią | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Analizy wpływu
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-4 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 — Analiza wpływu zabezpieczeń | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Oddzielne środowiska testowe
ID: NIST SP 800-53 Rev. 5 CM-4 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1201 — Analiza wpływu zabezpieczeń | Oddzielne środowiska testowe | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Ograniczenia dostępu dotyczące zmian
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 — ograniczenia dostępu do zmian | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Automatyczne wymuszanie dostępu i rekordy inspekcji
ID: NIST SP 800-53 Rev. 5 CM-5 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1203 — ograniczenia dostępu do zmian | Automatyczne wymuszanie dostępu/inspekcja | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Ograniczenie uprawnień dla środowiska produkcyjnego i operacji
ID: NIST SP 800-53 Rev. 5 CM-5 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1206 — ograniczenia dostępu do zmian | Ograniczanie uprawnień produkcyjnych/operacyjnych | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1207 — ograniczenia dostępu do zmian | Ograniczanie uprawnień produkcyjnych/operacyjnych | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Ustawienia konfiguracji
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-6 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 — przestarzałe |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. | Inspekcja, wyłączone | 1.0.2 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 10.1.0 |
| Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 10.1.1 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 10.1.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 1.5.0 |
| Microsoft Managed Control 1208 — Ustawienia konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1209 — Ustawienia konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1210 — konfiguracja Ustawienia | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1211 — Ustawienia konfiguracji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 1.0.0 |
Zautomatyzowane zarządzanie, aplikacja i weryfikacja
ID: NIST SP 800-53 Rev. 5 CM-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1212 — Konfiguracja Ustawienia | Zautomatyzowane centralne zarządzanie / aplikacja / weryfikacja | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Reagowanie na nieautoryzowane zmiany
ID: NIST SP 800-53 Rev. 5 CM-6 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1213 — konfiguracja Ustawienia | Reagowanie na nieautoryzowane zmiany | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Najmniejsza funkcjonalność
ID: NIST SP 800-53 Rev. 5 CM-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Managed Control 1214 — najmniejsza funkcjonalność | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1215 — najmniejsza funkcjonalność | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Przegląd okresowy
ID: NIST SP 800-53 Rev. 5 CM-7 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1216 — najmniejsza funkcjonalność | Przegląd okresowy | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1217 — najmniejsza funkcjonalność | Przegląd okresowy | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Zapobieganie wykonywaniu programu
ID: NIST SP 800-53 Rev. 5 CM-7 (2) Własność: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1218 — najmniejsza funkcjonalność | Zapobieganie wykonywaniu programu | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Autoryzowane oprogramowanie ??? Wyjątek dozwolony po wyjątku
ID: NIST SP 800-53 Rev. 5 CM-7 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1219 — najmniejsza funkcjonalność | Autoryzowane oprogramowanie/umieszczanie na liście dozwolonych | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1220 — najmniejsza funkcjonalność | Autoryzowane oprogramowanie/umieszczanie na liście dozwolonych | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1221 — najmniejsza funkcjonalność | Autoryzowane oprogramowanie/umieszczanie na liście dozwolonych | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Spis składników systemu
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-8 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 — Spis składników systemu informacyjnego | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1223 — Spis składników systemu informacyjnego | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1229 — Information System Component Inventory | Brak zduplikowanego księgowania składników | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Aktualizacje podczas instalacji i usuwania
ID: NIST SP 800-53 Rev. 5 CM-8 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1224 — Information System Component Inventory | Aktualizacje podczas instalacji/usuwania | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Automatyczna konserwacja
ID: NIST SP 800-53 Rev. 5 CM-8 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 — Information System Component Inventory | Automatyczna konserwacja | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Automatyczne wykrywanie nieautoryzowanych składników
ID: NIST SP 800-53 Rev. 5 CM-8 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1226 — Information System Component Inventory | Automatyczne wykrywanie nieautoryzowanych składników | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1227 — Information System Component Inventory | Automatyczne wykrywanie nieautoryzowanych składników | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1241 — oprogramowanie zainstalowane przez użytkownika | Alerty dotyczące nieautoryzowanych instalacji | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Informacje o odpowiedzialności
ID: NIST SP 800-53 Rev. 5 CM-8 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1228 — Information System Component Inventory | Informacje o odpowiedzialności | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Plan zarządzania konfiguracją
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-9 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 — Plan zarządzania konfiguracją | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1231 — plan zarządzania konfiguracją | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1232 — plan zarządzania konfiguracją | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1233 — plan zarządzania konfiguracją | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Ograniczenia użycia oprogramowania
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-10 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1234 — ograniczenia użycia oprogramowania | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1235 — ograniczenia użycia oprogramowania | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1236 — ograniczenia użycia oprogramowania | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Oprogramowanie typu open source
ID: NIST SP 800-53 Rev. 5 CM-10 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1237 — Ograniczenia użycia oprogramowania | Oprogramowanie typu open source | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Oprogramowanie zainstalowane przez użytkownika
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CM-11 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1238 — oprogramowanie zainstalowane przez użytkownika | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1239 — oprogramowanie zainstalowane przez użytkownika | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
| Microsoft Managed Control 1240 — oprogramowanie zainstalowane przez użytkownika | Firma Microsoft implementuje tę kontrolkę zarządzania konfiguracją | inspekcje | 1.0.0 |
Planowanie awaryjne
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 CP-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 — zasady i procedury planowania awaryjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1243 — zasady i procedury planowania awaryjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Plan awaryjny
ID: NIST SP 800-53 Rev. 5 CP-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 — plan awaryjny | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1245 — plan awaryjny | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1246 — plan awaryjny | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1247 — plan awaryjny | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1248 — plan awaryjny | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1249 — plan awaryjny | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1250 — plan awaryjny | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Koordynowanie z powiązanymi planami
ID: NIST SP 800-53 Rev. 5 CP-2 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1251 — plan awaryjny | Koordynowanie z powiązanymi planami | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Planowanie pojemności
ID: NIST SP 800-53 Rev. 5 CP-2 (2) Własność: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1252 — plan awaryjny | Planowanie pojemności | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Wznów misję i funkcje biznesowe
ID: NIST SP 800-53 Rev. 5 CP-2 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1253 — plan awaryjny | Wznawianie podstawowych misji/funkcji biznesowych | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1254 — plan awaryjny | Wznawianie wszystkich misji/funkcji biznesowych | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Kontynuuj misję i funkcje biznesowe
ID: NIST SP 800-53 Rev. 5 CP-2 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1255 — plan awaryjny | Kontynuuj podstawowe misje /funkcje biznesowe | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Identyfikowanie krytycznych zasobów
ID: NIST SP 800-53 Rev. 5 CP-2 (8) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1256 — plan awaryjny | Identyfikowanie krytycznych zasobów | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Trenowanie awaryjne
ID: NIST SP 800-53 Rev. 5 CP-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 — szkolenie awaryjne | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1258 — szkolenie awaryjne | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1259 — szkolenie awaryjne | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Symulowane zdarzenia
ID: NIST SP 800-53 Rev. 5 CP-3 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1260 — szkolenie awaryjne | Symulowane zdarzenia | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Testowanie planu awaryjnego
ID: NIST SP 800-53 Rev. 5 CP-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 — testowanie planu awaryjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1262 — testowanie planu awaryjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1263 — testowanie planu awaryjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Koordynowanie z powiązanymi planami
ID: NIST SP 800-53 Rev. 5 CP-4 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1264 — testowanie planu awaryjnego | Koordynowanie z powiązanymi planami | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Alternatywna lokacja przetwarzania
ID: NIST SP 800-53 Rev. 5 CP-4 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1265 — testowanie planu awaryjnego | Alternatywna lokacja przetwarzania | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1266 — testowanie planu awaryjnego | Alternatywna lokacja przetwarzania | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Alternatywna witryna magazynu
ID: NIST SP 800-53 Rev. 5 CP-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database | Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Managed Control 1267 — alternatywna witryna magazynu | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1268 — alternatywna witryna magazynu | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Separacja z lokacji głównej
ID: NIST SP 800-53 Rev. 5 CP-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database | Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Managed Control 1269 — alternatywna witryna magazynu | Separacja z lokacji głównej | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Czas odzyskiwania i cele punktu odzyskiwania
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CP-6 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1270 — alternatywna witryna magazynu | Czas odzyskiwania /cele punktu | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Ułatwienia dostępu
ID: NIST SP 800-53 Rev. 5 CP-6 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1271 — alternatywna witryna magazynu | Dostępności | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Alternatywna lokacja przetwarzania
ID: NIST SP 800-53 Rev. 5 CP-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 — witryna do przetwarzania alternatywnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1273 — witryna do przetwarzania alternatywnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1274 — witryna przetwarzania alternatywnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Separacja z lokacji głównej
ID: NIST SP 800-53 Rev. 5 CP-7 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1275 — witryna przetwarzania alternatywnego | Separacja z lokacji głównej | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Ułatwienia dostępu
ID: NIST SP 800-53 Rev. 5 CP-7 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1276 — witryna przetwarzania alternatywnego | Dostępności | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Priorytet usługi
ID: NIST SP 800-53 Rev. 5 CP-7 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1277 — witryna przetwarzania alternatywnego | Priorytet usługi | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Przygotowanie do użycia
ID: NIST SP 800-53 Rev. 5 CP-7 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1278 — witryna przetwarzania alternatywnego | Przygotowanie do użycia | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Usługi telekomunikacyjne
ID: NIST SP 800-53 Rev. 5 CP-8 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 — Usługi telekomunikacyjne | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Priorytet aprowizowania usług
ID: NIST SP 800-53 Rev. 5 CP-8 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1280 — Usługi telekomunikacyjne | Priorytet aprowizowania usług | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1281 — Usługi telekomunikacyjne | Priorytet aprowizowania usług | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Pojedyncze punkty awarii
ID: NIST SP 800-53 Rev. 5 CP-8 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1282 — Usługi telekomunikacyjne | Pojedyncze punkty awarii | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Separacja dostawców podstawowych i alternatywnych
ID: NIST SP 800-53 Rev. 5 CP-8 (3) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1283 — Usługi telekomunikacyjne | Separacja dostawców podstawowych/alternatywnych | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Plan awaryjny dostawcy
ID: NIST SP 800-53 Rev. 5 CP-8 (4) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1284 — Usługi telekomunikacyjne | Plan awaryjny dostawcy | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1285 — Usługi telekomunikacyjne | Plan awaryjny dostawcy | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1286 — Usługi telekomunikacyjne | Plan awaryjny dostawcy | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Kopia zapasowa systemu
ID: NIST SP 800-53 Rev. 5 CP-9 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Microsoft Managed Control 1287 — kopia zapasowa systemu informacyjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1288 — kopia zapasowa systemu informacyjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1289 — kopia zapasowa systemu informacyjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
| Microsoft Managed Control 1290 — Kopia zapasowa systemu informacyjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Testowanie pod kątem niezawodności i integralności
ID: NIST SP 800-53 Rev. 5 CP-9 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1291 — Kopia zapasowa systemu informacji | Testowanie pod kątem niezawodności/integralności | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Przywracanie testów przy użyciu próbkowania
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 CP-9 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1292 — Kopia zapasowa systemu informacji | Przywracanie testów przy użyciu próbkowania | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Oddzielny magazyn dla informacji krytycznych
ID: NIST SP 800-53 Rev. 5 CP-9 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1293 — Kopia zapasowa systemu informacji | Oddzielny magazyn dla informacji krytycznych | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Przenoszenie do alternatywnej lokacji magazynu
ID: NIST SP 800-53 Rev. 5 CP-9 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1294 — Kopia zapasowa systemu informacyjnego | Przenoszenie do alternatywnej lokacji magazynu | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Odzyskiwanie systemu i rekonstytucja
ID: NIST SP 800-53 Rev. 5 CP-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 — Odzyskiwanie i ponowne tworzenie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Odzyskiwanie transakcji
ID: NIST SP 800-53 Rev. 5 CP-10 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1296 — Odzyskiwanie i ponowne tworzenie systemu informacyjnego | Odzyskiwanie transakcji | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Przywracanie w okresie
ID: NIST SP 800-53 Rev. 5 CP-10 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1297 — Information System Recovery and Reconstitution | Przywracanie w okresie | Firma Microsoft implementuje tę kontrolę planowania awaryjnego | inspekcje | 1.0.0 |
Identyfikacja i uwierzytelnianie
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 IA-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 — zasady i procedury identyfikacji i uwierzytelniania | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1299 — zasady i procedury identyfikacji i uwierzytelniania | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Identyfikacja i uwierzytelnianie (użytkownicy organizacji)
ID: NIST SP 800-53 Rev. 5 IA-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1300 — identyfikacja i uwierzytelnianie użytkowników | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Uwierzytelnianie wieloskładnikowe na kontach uprzywilejowanych
ID: NIST SP 800-53 Rev. 5 IA-2 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Managed Control 1301 — identyfikacja i uwierzytelnianie użytkowników | Dostęp sieciowy do uprzywilejowanych kont | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1303 — identyfikacja i uwierzytelnianie użytkowników | Dostęp lokalny do uprzywilejowanych kont | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Uwierzytelnianie wieloskładnikowe do kont nieuprzywilejowanych
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 IA-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Managed Control 1302 — identyfikacja i uwierzytelnianie użytkowników | Dostęp sieciowy do kont nieuprzywilejowanych | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1304 — identyfikacja i uwierzytelnianie użytkowników | Dostęp lokalny do kont nieuprzywilejowanych | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Uwierzytelnianie indywidualne przy użyciu uwierzytelniania grupowego
ID: NIST SP 800-53 Rev. 5 IA-2 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 — identyfikacja i uwierzytelnianie użytkowników | Uwierzytelnianie grupy | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Dostęp do kont ??? Odporność na odtwarzanie
ID: NIST SP 800-53 Rev. 5 IA-2 (8) Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1306 — identyfikacja i uwierzytelnianie użytkowników | Dostęp sieciowy do uprzywilejowanych kont — powtarzanie... | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1307 — identyfikacja i uwierzytelnianie użytkowników | Dostęp sieciowy do kont nieuprzywilejowanych — powtarzanie... | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Akceptacja poświadczeń piv
ID: NIST SP 800-53 Rev. 5 IA-2 (12) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 — identyfikacja i uwierzytelnianie użytkowników | Akceptacja poświadczeń piv | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Identyfikacja i uwierzytelnianie urządzeń
ID: NIST SP 800-53 Rev. 5 IA-3 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 — identyfikacja i uwierzytelnianie urządzeń | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Zarządzanie identyfikatorami
ID: NIST SP 800-53 Rev. 5 IA-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1311 — zarządzanie identyfikatorami | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1312 — zarządzanie identyfikatorami | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1313 — zarządzanie identyfikatorami | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1314 — zarządzanie identyfikatorami | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1315 — zarządzanie identyfikatorami | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Identyfikowanie stanu użytkownika
ID: NIST SP 800-53 Rev. 5 IA-4 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1316 — Zarządzanie identyfikatorami | Identyfikowanie stanu użytkownika | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Zarządzanie modułem Authenticator
ID: NIST SP 800-53 Rev. 5 IA-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 1.4.0 |
| Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 1.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1318 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1319 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1320 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1321 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1322 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1323 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1324 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1325 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1326 — Authenticator Management | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Uwierzytelnianie oparte na hasłach
ID: NIST SP 800-53 Rev. 5 IA-5 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 1.4.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 | AuditIfNotExists, Disabled | 1.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni | AuditIfNotExists, Disabled | 1.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień | AuditIfNotExists, Disabled | 1.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | AuditIfNotExists, Disabled | 1.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków | AuditIfNotExists, Disabled | 1.1.0 |
| Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 1.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1327 — Authenticator Management | Uwierzytelnianie oparte na hasłach | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1328 — Authenticator Management | Uwierzytelnianie oparte na hasłach | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1329 — Authenticator Management | Uwierzytelnianie oparte na hasłach | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1330 — Authenticator Management | Uwierzytelnianie oparte na hasłach | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1331 — Authenticator Management | Uwierzytelnianie oparte na hasłach | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1332 — Authenticator Management | Uwierzytelnianie oparte na hasłach | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1338 — Authenticator Management | Automatyczna obsługa określania siły hasła | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Uwierzytelnianie oparte na kluczach publicznych
ID: NIST SP 800-53 Rev. 5 IA-5 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1333 — Authenticator Management | Uwierzytelnianie oparte na infrastrukturze kluczy publicznych | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1334 — Authenticator Management | Uwierzytelnianie oparte na infrastrukturze kluczy publicznych | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1335 — Authenticator Management | Uwierzytelnianie oparte na infrastrukturze kluczy publicznych | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1336 — Authenticator Management | Uwierzytelnianie oparte na infrastrukturze kluczy publicznych | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Ochrona wystawców uwierzytelnień
ID: NIST SP 800-53 Rev. 5 IA-5 (6) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1339 — Authenticator Management | Ochrona wystawców uwierzytelnień | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Brak osadzonych niezaszyfrowanych statycznych wystawców uwierzytelnień
ID: NIST SP 800-53 Rev. 5 IA-5 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1340 — Authenticator Management | Brak osadzonych niezaszyfrowanych statycznych wystawców uwierzytelnień | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Wiele kont systemowych
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 IA-5 (8) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1341 — Authenticator Management | Wiele kont systemu informacji | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Wygaśnięcie buforowanych wystawców uwierzytelnień
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 IA-5 (13) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1343 — Authenticator Management | Wygaśnięcie buforowanych wystawców uwierzytelnień | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Opinia dotycząca uwierzytelniania
ID: NIST SP 800-53 Rev. 5 IA-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 — Opinia wystawcy uwierzytelnienia | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Uwierzytelnianie modułu kryptograficznego
ID: NIST SP 800-53 Rev. 5 IA-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 — uwierzytelnianie modułu kryptograficznego | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Identyfikacja i uwierzytelnianie (użytkownicy nienależące do organizacji)
ID: NIST SP 800-53 Rev. 5 IA-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 — identyfikacja i uwierzytelnianie (użytkownicy niebędący organizacją) | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Akceptacja poświadczeń PIV z innych agencji
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 IA-8 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1347 — identyfikacja i uwierzytelnianie (użytkownicy nienależące do organizacji) | Akceptacja poświadczeń piv... | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Akceptacja zewnętrznych wystawców uwierzytelnień
ID: NIST SP 800-53 Rev. 5 IA-8 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1348 — identyfikacja i uwierzytelnianie (użytkownicy niebędący organizacją) | Akceptacja osób trzecich... | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1349 — identyfikacja i uwierzytelnianie (użytkownicy niebędący organizacją) | Korzystanie z produktów zatwierdzonych przez ficam | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Korzystanie ze zdefiniowanych profilów
ID: NIST SP 800-53 Rev. 5 IA-8 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1350 — identyfikacja i uwierzytelnianie (użytkownicy niebędący organizacją) | Korzystanie z profilów wystawionych przez ficam | Firma Microsoft implementuje tę kontrolkę identyfikacji i uwierzytelniania | inspekcje | 1.0.0 |
Reagowania na incydenty
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 IR-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 — zasady i procedury reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1352 — zasady i procedury reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Szkolenie reagowania na zdarzenia
Id: NIST SP 800-53 Rev. 5 IR-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 — szkolenie reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1354 — szkolenie reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1355 — szkolenie dotyczące reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Symulowane zdarzenia
Id: NIST SP 800-53 Rev. 5 IR-2 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1356 — szkolenie reagowania na zdarzenia | Symulowane zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Środowiska zautomatyzowanego trenowania
ID: NIST SP 800-53 Rev. 5 IR-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1357 — szkolenie dotyczące reagowania na zdarzenia | Środowiska zautomatyzowanego trenowania | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Testowanie reagowania na zdarzenia
ID: NIST SP 800-53 Rev. 5 IR-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 — testowanie reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Koordynacja z powiązanymi planami
ID: NIST SP 800-53 Rev. 5 IR-3 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1359 — testowanie reagowania na zdarzenia | Koordynacja z powiązanymi planami | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Obsługa zdarzeń
ID: NIST SP 800-53 Rev. 5 IR-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1360 — obsługa zdarzeń | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1361 — obsługa zdarzeń | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1362 — obsługa zdarzeń | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Zautomatyzowane procesy obsługi zdarzeń
ID: NIST SP 800-53 Rev. 5 IR-4 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1363 — Obsługa zdarzeń | Zautomatyzowane procesy obsługi zdarzeń | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Dynamiczna ponowna konfiguracja
ID: NIST SP 800-53 Rev. 5 IR-4 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1364 — Obsługa zdarzeń | Rekonfiguracja dynamiczna | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Ciągłość operacji
ID: NIST SP 800-53 Rev. 5 IR-4 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1365 — Obsługa zdarzeń | Ciągłość operacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Korelacja informacji
ID: NIST SP 800-53 Rev. 5 IR-4 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1366 — Obsługa zdarzeń | Korelacja informacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Zagrożenia dla niejawnych testerów
ID: NIST SP 800-53 Rev. 5 IR-4 (6) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1367 — Obsługa zdarzeń | Zagrożenia dla niejawnych — określone możliwości | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Korelacja z organizacjami zewnętrznymi
Id: NIST SP 800-53 Rev. 5 IR-4 (8) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1368 — Obsługa zdarzeń | Korelacja z organizacjami zewnętrznymi | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Monitorowanie zdarzeń
ID: NIST SP 800-53 Rev. 5 IR-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1369 — monitorowanie zdarzeń | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Zautomatyzowane śledzenie, zbieranie danych i analiza
IDENTYFIKATOR: Własność NIST SP 800-53 rev. 5 IR-5 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1370 — Monitorowanie zdarzeń | Zautomatyzowane śledzenie/zbieranie danych/analiza | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Raportowanie zdarzeń
ID: NIST SP 800-53 Rev. 5 IR-6 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 — raportowanie zdarzeń | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1372 — raportowanie zdarzeń | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Automatyczne raportowanie
Id: NIST SP 800-53 Rev. 5 IR-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1373 — Raportowanie zdarzeń | Automatyczne raportowanie | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Luki w zabezpieczeniach związane ze zdarzeniami
ID: NIST SP 800-53 Rev. 5 IR-6 (2) Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Pomoc dotycząca reagowania na zdarzenia
ID: NIST SP 800-53 Rev. 5 IR-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 — pomoc dotycząca reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Obsługa automatyzacji w celu zapewnienia dostępności informacji i pomocy technicznej
ID: NIST SP 800-53 Rev. 5 IR-7 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1375 — Pomoc w reagowaniu na zdarzenia | Obsługa automatyzacji w celu zapewnienia dostępności informacji/ pomocy technicznej | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Koordynacja z dostawcami zewnętrznymi
ID: NIST SP 800-53 Rev. 5 IR-7 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1376 — Pomoc dotycząca reagowania na zdarzenia | Koordynacja z dostawcami zewnętrznymi | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1377 — Pomoc dotycząca reagowania na zdarzenia | Koordynacja z dostawcami zewnętrznymi | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Plan reagowania na zdarzenia
Id: NIST SP 800-53 Rev. 5 IR-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 — plan reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1379 — plan reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1380 — plan reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1381 — plan reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1382 — plan reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1383 — plan reagowania na zdarzenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Odpowiedź rozlania informacji
Id: NIST SP 800-53 Rev. 5 IR-9 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1384 — odpowiedź na wyciek informacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1385 — odpowiedź na wyciek informacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1386 — odpowiedź na wyciek informacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1387 — reakcja rozlewu informacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1388 — odpowiedź na wyciek informacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1389 — odpowiedź na wyciek informacji | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
| Microsoft Managed Control 1390 — Reagowanie na wyciek informacji | Personel odpowiedzialny | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Szkolenia
Id: NIST SP 800-53 Rev. 5 IR-9 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1391 — Reakcja rozlewu informacji | Szkolenia | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Operacje po rozlaniu
ID: NIST SP 800-53 Rev. 5 IR-9 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1392 — Reagowanie na wyciek informacji | Operacje po rozlaniu | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Narażenie na nieautoryzowany personel
ID: NIST SP 800-53 Rev. 5 IR-9 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1393 — Reagowanie na wyciek informacji | Narażenie na nieautoryzowany personel | Firma Microsoft implementuje tę kontrolę reagowania na zdarzenia | inspekcje | 1.0.0 |
Konserwacja
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 MA-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 — Zasady i procedury konserwacji systemu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1395 — zasady i procedury konserwacji systemu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Kontrolowana konserwacja
ID: NIST SP 800-53 Rev. 5 MA-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 — kontrolowana konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1397 — kontrolowana konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1398 — kontrolowana konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1399 — kontrolowana konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1400 — kontrolowana konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1401 — kontrolowana konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Działania związane z automatyczną konserwacją
ID: NIST SP 800-53 Rev. 5 MA-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1402 — kontrolowana konserwacja | Działania związane z automatyczną konserwacją | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1403 — kontrolowana konserwacja | Działania związane z automatyczną konserwacją | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Narzędzia konserwacji
ID: NIST SP 800-53 Rev. 5 MA-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 — narzędzia do konserwacji | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Narzędzia inspekcji
ID: NIST SP 800-53 Rev. 5 MA-3 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1405 — Narzędzia konserwacji | Narzędzia inspekcji | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Inspekcja multimediów
ID: NIST SP 800-53 Rev. 5 MA-3 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1406 — Narzędzia konserwacji | Inspekcja multimediów | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Zapobieganie nieautoryzowanemu usuwaniu
ID: NIST SP 800-53 Rev. 5 MA-3 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1407 — Narzędzia konserwacji | Zapobieganie nieautoryzowanemu usuwaniu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1408 — Narzędzia konserwacji | Zapobieganie nieautoryzowanemu usuwaniu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1409 — Narzędzia konserwacji | Zapobieganie nieautoryzowanemu usuwaniu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1410 — Narzędzia konserwacji | Zapobieganie nieautoryzowanemu usuwaniu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Konserwacja nielokalna
ID: NIST SP 800-53 Rev. 5 MA-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1411 — zdalna konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1412 — zdalna konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1413 — zdalna konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1414 — zdalna konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1415 — zdalna konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Porównywalne zabezpieczenia i oczyszczanie
ID: NIST SP 800-53 Rev. 5 MA-4 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1417 — Zdalna konserwacja | Porównywalne zabezpieczenia/oczyszczanie | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1418 — Zdalna konserwacja | Porównywalne zabezpieczenia/oczyszczanie | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Ochrona kryptograficzna
ID: NIST SP 800-53 Rev. 5 MA-4 (6) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1419 — Konserwacja zdalna | Ochrona kryptograficzna | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Personel obsługi technicznej
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 MA-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 — personel obsługi | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1421 — personel obsługi | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1422 — personel obsługi | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Osoby bez odpowiedniego dostępu
ID: NIST SP 800-53 Rev. 5 MA-5 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1423 — Personel obsługi | Osoby bez odpowiedniego dostępu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1424 — Personel obsługi | Osoby bez odpowiedniego dostępu | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Czasowa konserwacja
ID: NIST SP 800-53 Rev. 5 MA-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 — czasowa konserwacja | Firma Microsoft implementuje tę kontrolkę konserwacji | inspekcje | 1.0.0 |
Ochrona multimediów
Zasady i procedury
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 MP-1 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 — Zasady i procedury ochrony multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1427 — zasady i procedury ochrony multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Dostęp do multimediów
ID: NIST SP 800-53 Rev. 5 MP-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 — dostęp do multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Znakowanie multimediów
ID: NIST SP 800-53 Rev. 5 MP-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1429 — etykietowanie multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1430 — etykietowanie multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Magazyn multimediów
ID: NIST SP 800-53 Rev. 5 MP-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 — Media Storage | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1432 — Media Storage | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Transport multimedialny
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 MP-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 — Media Transport | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1434 — Media Transport | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1435 — Media Transport | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1436 — Media Transport | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Oczyszczanie multimediów
ID: NIST SP 800-53 Rev. 5 MP-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1438 — oczyszczanie i usuwanie multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1439 — oczyszczanie i usuwanie multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Przeglądanie, zatwierdzanie, śledzenie, dokument i weryfikowanie
ID: NIST SP 800-53 Rev. 5 MP-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1440 — Oczyszczanie i usuwanie multimediów | Przeglądanie/zatwierdzanie/śledzenie/dokument/weryfikowanie | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Testowanie sprzętu
ID: NIST SP 800-53 Rev. 5 MP-6 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1441 — Oczyszczanie i usuwanie multimediów | Testowanie sprzętu | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Techniki niezniszczalne
ID: NIST SP 800-53 Rev. 5 MP-6 (3) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1442 — Oczyszczanie i usuwanie multimediów | Techniki niezniszczalne | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Korzystanie z multimediów
ID: NIST SP 800-53 Rev. 5 MP-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 — używanie multimediów | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1444 — Korzystanie z multimediów | Zakaz używania bez właściciela | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
Ochrona fizyczna i środowiskowa
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 PE-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 — zasady i procedury ochrony środowiska fizycznego i ochrony środowiska | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Kontrola zarządzana przez firmę Microsoft 1446 — zasady i procedury ochrony środowiska fizycznego i ochrony środowiska | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Autoryzacje dostępu fizycznego
ID: NIST SP 800-53 Rev. 5 PE-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 — autoryzacje dostępu fizycznego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1448 — autoryzacje dostępu fizycznego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1449 — autoryzacje dostępu fizycznego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1450 — autoryzacje dostępu fizycznego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Kontrola dostępu fizycznego
ID: NIST SP 800-53 Rev. 5 PE-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1451 — fizyczna kontrola dostępu | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1452 — fizyczna kontrola dostępu | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1453 — fizyczna kontrola dostępu | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1454 — fizyczna kontrola dostępu | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1455 — fizyczna kontrola dostępu | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1456 — fizyczna kontrola dostępu | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1457 — fizyczna kontrola dostępu | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Dostęp do systemu
ID: NIST SP 800-53 Rev. 5 PE-3 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1458 — fizyczna kontrola dostępu | Dostęp do systemu informacyjnego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Kontrola dostępu do transmisji
ID: NIST SP 800-53 Rev. 5 PE-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 — Kontrola dostępu do nośnika transmisji | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Kontrola dostępu dla urządzeń wyjściowych
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 PE-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 — kontrola dostępu dla urządzeń wyjściowych | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Monitorowanie dostępu fizycznego
ID: NIST SP 800-53 Rev. 5 PE-6 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 — monitorowanie dostępu fizycznego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1462 — monitorowanie dostępu fizycznego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1463 — monitorowanie dostępu fizycznego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Alarmy włamań i sprzęt nadzoru
ID: NIST SP 800-53 Rev. 5 PE-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1464 — Monitorowanie dostępu fizycznego | Alarmy włamań / Urządzenia nadzoru | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Monitorowanie fizycznego dostępu do systemów
ID: NIST SP 800-53 Rev. 5 PE-6 (4) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1465 — Monitorowanie dostępu fizycznego | Monitorowanie fizycznego dostępu do systemów informacyjnych | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Rekordy dostępu gościa
ID: NIST SP 800-53 Rev. 5 PE-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 — rekordy dostępu gościa | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1467 — rekordy dostępu dla odwiedzających | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Automatyczna konserwacja i przegląd rekordów
ID: NIST SP 800-53 Rev. 5 PE-8 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1468 — Rekordy dostępu dla odwiedzających | Konserwacja automatycznych rekordów / przegląd | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Wyposażenie zasilające i okablowanie
ID: NIST SP 800-53 Rev. 5 PE-9 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 — urządzenia zasilające i okablowanie | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Wyłączenie awaryjne
ID: NIST SP 800-53 Rev. 5 PE-10 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 — awaryjne wyłączenie | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1471 — awaryjne wyłączenie | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1472 — awaryjne wyłączenie | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Zasilanie awaryjne
ID: NIST SP 800-53 Rev. 5 PE-11 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 — zasilanie awaryjne | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Alternatywne ??? zasilania Minimalna możliwość operacyjna
ID: NIST SP 800-53 Rev. 5 PE-11 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1474 — Zasilanie awaryjne | Długoterminowe alternatywne zasilanie — minimalna możliwość operacyjna | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Oświetlenie awaryjne
ID: NIST SP 800-53 Rev. 5 PE-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 — oświetlenie awaryjne | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Ochrona przeciwpożarowa
ID: NIST SP 800-53 Rev. 5 PE-13 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 — Ochrona przed pożarem | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Systemy wykrywania ??? Automatyczna aktywacja i powiadomienia
ID: NIST SP 800-53 Rev. 5 PE-13 (1) Własność: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1477 — Ochrona przeciwpożarowa | Urządzenia wykrywania/systemy | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Systemy pomijania ??? Automatyczna aktywacja i powiadomienia
ID: NIST SP 800-53 Rev. 5 PE-13 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1478 — Ochrona przeciwpożarowa | Pomijanie urządzeń/systemów | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1479 — Ochrona przeciwpożarowa | Automatyczne tłumienie pożaru | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Mechanizmy kontroli środowiska
ID: NIST SP 800-53 Rev. 5 PE-14 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 — kontrolki temperatury i wilgotności | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1481 — kontrolki temperatury i wilgotności | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Monitorowanie za pomocą alarmów i powiadomień
ID: NIST SP 800-53 Rev. 5 PE-14 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1482 — kontrolki temperatury i wilgotności | Monitorowanie za pomocą alarmów/powiadomień | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Ochrona przed uszkodzeniem wody
ID: NIST SP 800-53 Rev. 5 PE-15 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 — Ochrona przed uszkodzeniem wody | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
obsługa automatyzacji
ID: NIST SP 800-53 Rev. 5 PE-15 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1484 — Ochrona przed uszkodzeniem wody | Obsługa automatyzacji | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Dostarczanie i usuwanie
ID: NIST SP 800-53 Rev. 5 PE-16 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 — dostarczanie i usuwanie | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Alternatywna witryna pracy
ID: NIST SP 800-53 Rev. 5 PE-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 — alternatywna witryna pracy | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1487 — alternatywna witryna pracy | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
| Microsoft Managed Control 1488 — alternatywna witryna pracy | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Lokalizacja składników systemowych
ID: NIST SP 800-53 Rev. 5 PE-18 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 — lokalizacja składników systemu informacyjnego | Firma Microsoft implementuje tę kontrolę ochrony fizycznej i środowiskowej | inspekcje | 1.0.0 |
Planowanie
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 PL-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 — zasady i procedury planowania zabezpieczeń | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1491 — zasady i procedury planowania zabezpieczeń | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
Plany zabezpieczeń i prywatności systemu
ID: NIST SP 800-53 Rev. 5 PL-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 — Plan zabezpieczeń systemu | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1493 — plan zabezpieczeń systemu | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1494 — Plan zabezpieczeń systemu | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1495 — Plan zabezpieczeń systemu | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1496 — Plan zabezpieczeń systemu | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1497 — Plan zabezpieczeń systemu | Planowanie/koordynowanie z innymi jednostkami organizacyjnymi | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
Reguły zachowania
ID: NIST SP 800-53 Rev. 5 PL-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 — reguły zachowania | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1499 — reguły zachowania | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1500 — reguły zachowania | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1501 — reguły zachowania | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
Ograniczenia użycia mediów społecznościowych i witryn zewnętrznych/aplikacji
ID: NIST SP 800-53 Rev. 5 PL-4 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1502 — reguły zachowania | Ograniczenia dotyczące mediów społecznościowych i sieci | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
Architektury zabezpieczeń i prywatności
ID: NIST SP 800-53 Rev. 5 PL-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 — Architektura zabezpieczeń informacji | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1504 — Architektura zabezpieczeń informacji | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
| Microsoft Managed Control 1505 — Architektura zabezpieczeń informacji | Firma Microsoft implementuje tę kontrolę planowania | inspekcje | 1.0.0 |
Zabezpieczenia personelu
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 PS-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 — Zasady i procedury dotyczące zabezpieczeń personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1507 — Zasady i procedury dotyczące zabezpieczeń personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Oznaczenie ryzyka pozycji
ID: NIST SP 800-53 Rev. 5 PS-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1508 — kategoryzacja pozycji | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1509 — kategoryzacja pozycji | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1510 — kategoryzacja pozycji | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Badania przesiewowe personelu
ID: NIST SP 800-53 Rev. 5 PS-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 — kontrola personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1512 — kontrola personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Informacje wymagające specjalnych środków ochronnych
ID: NIST SP 800-53 Rev. 5 PS-3 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrola zarządzana przez firmę Microsoft 1513 — kontrola personelu | Informacje ze specjalnymi środkami ochrony | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Kontrola zarządzana przez firmę Microsoft 1514 — kontrola personelu | Informacje ze specjalnymi środkami ochrony | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Zakończenie pracy personelu
ID: NIST SP 800-53 Rev. 5 PS-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 — zakończenie pracy personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1516 — zakończenie pracy personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1517 — zakończenie pracy personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1518 — zakończenie pracy personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1519 — zakończenie pracy personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1520 — zakończenie pracy personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Akcje automatyczne
ID: NIST SP 800-53 Rev. 5 PS-4 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1521 — Zakończenie pracy personelu | Automatyczne powiadomienie | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Transfer personelu
ID: NIST SP 800-53 Rev. 5 PS-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 — Transfer personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1523 — Transfer personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1524 — Transfer personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1525 — Transfer personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Umowy dotyczące dostępu
ID: NIST SP 800-53 Rev. 5 PS-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 — Umowy dotyczące dostępu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1527 — Umowy dotyczące dostępu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1528 — Umowy dotyczące dostępu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Zabezpieczenia personelu zewnętrznego
ID: NIST SP 800-53 Rev. 5 PS-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 — Zabezpieczenia personelu innych firm | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1530 — Zabezpieczenia personelu innych firm | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1531 — Zabezpieczenia personelu innych firm | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1532 — Zabezpieczenia personelu innych firm | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1533 — Zabezpieczenia personelu innych firm | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Sankcje personelu
ID: NIST SP 800-53 Rev. 5 PS-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 — sankcje dotyczące personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
| Microsoft Managed Control 1535 — sankcje dotyczące personelu | Firma Microsoft implementuje tę kontrolę zabezpieczeń personelu | inspekcje | 1.0.0 |
Ocena ryzyka
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 RA-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 — zasady i procedury oceny ryzyka | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1537 — zasady i procedury oceny ryzyka | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Kategoryzacja zabezpieczeń
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 RA-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 — kategoryzacja zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1539 — kategoryzacja zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1540 — kategoryzacja zabezpieczeń | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Ocena ryzyka
ID: NIST SP 800-53 Rev. 5 RA-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 — Ocena ryzyka | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1542 — Ocena ryzyka | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1543 — Ocena ryzyka | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1544 — Ocena ryzyka | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1545 — Ocena ryzyka | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Monitorowanie luk w zabezpieczeniach i skanowanie
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 RA-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1546 — skanowanie w zabezpieczeniach | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1547 — skanowanie w zabezpieczeniach | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1548 — skanowanie w zabezpieczeniach | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1549 — skanowanie w zabezpieczeniach | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1550 — skanowanie w zabezpieczeniach | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Microsoft Managed Control 1551 — skanowanie luk w zabezpieczeniach | Aktualizowanie możliwości narzędzia | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
| Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera | Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. | AuditIfNotExists, Disabled | 3.0.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse | Odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach przez skonfigurowanie cyklicznych skanów oceny luk w zabezpieczeniach SQL w obszarach roboczych usługi Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Aktualizowanie luk w zabezpieczeniach do skanowania
ID: NIST SP 800-53 Rev. 5 RA-5 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1552 — skanowanie luk w zabezpieczeniach | Aktualizuj według częstotliwości / przed nowym skanowaniem / po zidentyfikowaniu | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Szerokość i głębokość pokrycia
ID: NIST SP 800-53 Rev. 5 RA-5 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1553 — skanowanie luk w zabezpieczeniach | Szerokość/głębokość pokrycia | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Informacje z możliwością odnajdywania
ID: NIST SP 800-53 Rev. 5 RA-5 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1554 — Skanowanie luk w zabezpieczeniach | Informacje z możliwością odnajdywania | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Dostęp uprzywilejowany
Id: NIST SP 800-53 Rev. 5 RA-5 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1555 — skanowanie luk w zabezpieczeniach | Dostęp uprzywilejowany | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Zautomatyzowane analizy trendów
ID: NIST SP 800-53 Rev. 5 RA-5 (6) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1556 — skanowanie luk w zabezpieczeniach | Zautomatyzowane analizy trendów | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Przeglądanie historycznych dzienników inspekcji
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 RA-5 (8) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1557 — skanowanie luk w zabezpieczeniach | Przeglądanie historycznych dzienników inspekcji | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Korelowanie informacji skanowania
ID: NIST SP 800-53 Rev. 5 RA-5 (10) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1558 — skanowanie luk w zabezpieczeniach | Korelowanie informacji skanowania | Firma Microsoft implementuje tę kontrolę oceny ryzyka | inspekcje | 1.0.0 |
Pozyskiwanie systemów i usług
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 SA-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 — zasady i procedury pozyskiwania systemów i usług | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1560 — zasady i procedury pozyskiwania systemu i usług | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Alokacja zasobów
ID: NIST SP 800-53 Rev. 5 SA-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 — alokacja zasobów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1562 — alokacja zasobów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1563 — alokacja zasobów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Cykl życia programowania systemu
ID: NIST SP 800-53 Rev. 5 SA-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1564 — cykl życia programowania systemu | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1565 — cykl życia programowania systemu | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1566 — cykl życia programowania systemu | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1567 — cykl życia programowania systemu | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Proces pozyskiwania
ID: NIST SP 800-53 Rev. 5 SA-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1568 — proces pozyskiwania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1569 — proces pozyskiwania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1570 — proces pozyskiwania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1571 — proces pozyskiwania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1572 — proces pozyskiwania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1573 — proces pozyskiwania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1574 — proces pozyskiwania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Właściwości funkcjonalne kontrolek
ID: NIST SP 800-53 Rev. 5 SA-4 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1575 — Proces pozyskiwania | Właściwości funkcjonalne mechanizmów kontroli zabezpieczeń | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Informacje o projektowaniu i implementacji kontrolek
ID: NIST SP 800-53 Rev. 5 SA-4 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1576 — Proces pozyskiwania | Informacje o projekcie/implementacji dla mechanizmów kontroli zabezpieczeń | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Plan ciągłego monitorowania kontrolek
ID: NIST SP 800-53 Rev. 5 SA-4 (8) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1577 — Proces pozyskiwania | Plan ciągłego monitorowania | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Funkcje, porty, protokoły i usługi w użyciu
ID: NIST SP 800-53 Rev. 5 SA-4 (9) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1578 — Proces pozyskiwania | Funkcje / porty / protokoły / usługi używane | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Korzystanie z zatwierdzonych produktów PIV
ID: NIST SP 800-53 Rev. 5 SA-4 (10) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1579 — Proces pozyskiwania | Korzystanie z zatwierdzonych produktów Piv | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Dokumentacja systemu
ID: NIST SP 800-53 Rev. 5 SA-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentacja programu Microsoft Managed Control 1580 — Information System | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Dokumentacja programu Microsoft Managed Control 1581 — Information System | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1582 — dokumentacja systemu informacyjnego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1583 — dokumentacja systemu informacyjnego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1584 — dokumentacja systemu informacyjnego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Zasady inżynierii zabezpieczeń i prywatności
ID: NIST SP 800-53 Rev. 5 SA-8 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 — Zasady inżynierii zabezpieczeń | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Usługi systemu zewnętrznego
ID: NIST SP 800-53 Rev. 5 SA-9 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 — zewnętrzne usługi systemu informacyjnego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1587 — zewnętrzne usługi systemu informacyjnego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1588 — zewnętrzne usługi systemu informacyjnego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Oceny ryzyka i Zatwierdzenia organizacyjne
ID: NIST SP 800-53 Rev. 5 SA-9 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1589 — Zewnętrzne usługi systemu informacyjnego | Oceny ryzyka / Zatwierdzenia organizacyjne | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1590 — Zewnętrzne usługi systemu informacyjnego | Oceny ryzyka / Zatwierdzenia organizacyjne | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Identyfikacja funkcji, portów, protokołów i usług
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 SA-9 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1591 — Zewnętrzne usługi systemu informacyjnego | Identyfikacja funkcji/portów/protokołów... | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Spójne interesy konsumentów i dostawców
ID: NIST SP 800-53 Rev. 5 SA-9 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1592 — Zewnętrzne usługi systemu informacyjnego | Spójne interesy konsumentów i dostawców | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Przetwarzanie, magazynowanie i lokalizacja usługi
ID: NIST SP 800-53 Rev. 5 SA-9 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1593 — Zewnętrzne usługi systemu informacyjnego | Przetwarzanie, magazynowanie i lokalizacja usługi | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Zarządzanie konfiguracją dla deweloperów
ID: NIST SP 800-53 Rev. 5 SA-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 — Zarządzanie konfiguracją dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1595 — Zarządzanie konfiguracją dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1596 — Zarządzanie konfiguracją dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1597 — Zarządzanie konfiguracją dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1598 — Zarządzanie konfiguracją dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Weryfikacja integralności oprogramowania i oprogramowania układowego
Identyfikator: NIST SP 800-53 Rev. 5 SA-10 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1599 — Developer Configuration Management | Weryfikacja integralności oprogramowania/oprogramowania układowego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Testowanie i ocena dla deweloperów
ID: NIST SP 800-53 Rev. 5 SA-11 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 — testowanie i ocena zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1601 — Testowanie i ocena zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1602 — testowanie i ocena zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1603 — testowanie i ocena zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1604 — Testowanie i ocena zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Analiza kodu statycznego
ID: NIST SP 800-53 Rev. 5 SA-11 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1605 — Testowanie i ocena zabezpieczeń dla deweloperów | Analiza kodu statycznego | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Analizy zagrożeń i modelowania luk w zabezpieczeniach
ID: NIST SP 800-53 Rev. 5 SA-11 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1606 — Testowanie i ocena zabezpieczeń dla deweloperów | Analizy zagrożeń i luk w zabezpieczeniach | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Dynamiczna analiza kodu
ID: NIST SP 800-53 Rev. 5 SA-11 (8) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1607 — Testowanie i ocena zabezpieczeń dla deweloperów | Dynamiczna analiza kodu | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Proces programowania, standardy i narzędzia
ID: NIST SP 800-53 Rev. 5 SA-15 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 — proces programowania, standardy i narzędzia | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1610 — proces programowania, standardy i narzędzia | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Szkolenie dostarczone przez deweloperów
ID: NIST SP 800-53 Rev. 5 SA-16 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 — szkolenie dostarczone przez deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Architektura i projektowanie zabezpieczeń i prywatności dla deweloperów
ID: NIST SP 800-53 Rev. 5 SA-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 — Architektura i projektowanie zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1613 — architektura i projektowanie zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
| Microsoft Managed Control 1614 — Architektura i projektowanie zabezpieczeń dla deweloperów | Firma Microsoft implementuje tę kontrolę przejęcia systemu i usług | inspekcje | 1.0.0 |
Ochrona systemu i komunikacji
Zasady i procedury
Id: NIST SP 800-53 Rev. 5 SC-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 — zasady i procedury ochrony systemu i komunikacji | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1616 — Zasady i procedury ochrony systemu i komunikacji | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Rozdzielenie funkcji systemu i użytkownika
Id: NIST SP 800-53 Rev. 5 SC-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 — Partycjonowanie aplikacji | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Izolacja funkcji zabezpieczeń
ID: NIST SP 800-53 Rev. 5 SC-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1618 — izolacja funkcji zabezpieczeń | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Informacje w udostępnionych zasobach systemowych
ID: NIST SP 800-53 Rev. 5 SC-4 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 — informacje w zasobach udostępnionych | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Ochrona przed odmową usługi
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 SC-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists, Disabled | 3.0.1 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1620 — odmowa usługi | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Dostępność zasobów
Id: NIST SP 800-53 Rev. 5 SC-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 — dostępność zasobów | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Ochrona granic
ID: NIST SP 800-53 Rev. 5 SC-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.0 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 1.4.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1622 — Ochrona granic | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1623 — Ochrona granic | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1624 — Ochrona granic | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Punkty dostępu
ID: NIST SP 800-53 Rev. 5 SC-7 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.0 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 1.4.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1625 — Ochrona granic | Punkty dostępu | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Zewnętrzne usługi telekomunikacyjne
ID: NIST SP 800-53 Rev. 5 SC-7 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1626 — Ochrona granic | Zewnętrzne usługi telekomunikacyjne | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1627 — Ochrona granic | Zewnętrzne usługi telekomunikacyjne | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1628 — Ochrona granic | Zewnętrzne usługi telekomunikacyjne | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1629 — Ochrona granic | Zewnętrzne usługi telekomunikacyjne | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1630 — Ochrona granic | Zewnętrzne usługi telekomunikacyjne | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Odmów domyślnie ??? Zezwalaj według wyjątku
ID: NIST SP 800-53 Rev. 5 SC-7 (5) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1155 — Połączenia systemowe | Ograniczenia dotyczące Połączenie systemu zewnętrznego | Firma Microsoft implementuje tę kontrolę oceny zabezpieczeń i autoryzacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1631 — Ochrona granic | Odmów domyślnie / Zezwalaj według wyjątku | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Dzielenie tunelowania dla urządzeń zdalnych
ID: NIST SP 800-53 Rev. 5 SC-7 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1632 — Ochrona granic | Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Kierowanie ruchu do uwierzytelnionych serwerów proxy
IDENTYFIKATOR: Własność NIST SP 800-53 rev. 5 SC-7 (8) Własność: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1633 — Ochrona granic | Kierowanie ruchu do uwierzytelnionych serwerów proxy | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Zapobieganie eksfiltracji
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 SC-7 (10) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1634 — Ochrona granic | Zapobieganie nieautoryzowanej eksfiltracji | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Ochrona oparta na hoście
ID: NIST SP 800-53 Rev. 5 SC-7 (12) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1635 — Ochrona granic | Ochrona oparta na hoście | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Izolacja narzędzi zabezpieczeń, mechanizmów i składników pomocy technicznej
ID: NIST SP 800-53 Rev. 5 SC-7 (13) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1636 — Ochrona granic | Izolacja narzędzi zabezpieczeń / mechanizmów / składników pomocy technicznej | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Zabezpieczanie niepowodzeniem
ID: NIST SP 800-53 Rev. 5 SC-7 (18) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1637 — Ochrona granic | Zabezpieczanie niepowodzeniem | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Izolacja dynamiczna i segregacja
ID: NIST SP 800-53 Rev. 5 SC-7 (20) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1638 — Ochrona granic | Izolacja dynamiczna/segregacja | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Izolacja składników systemowych
ID: NIST SP 800-53 Rev. 5 SC-7 (21) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1639 — Ochrona granic | Izolacja składników systemu informacyjnego | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Poufność i integralność transmisji
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 SC-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight | Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Microsoft Managed Control 1640 — Poufność i integralność transmisji | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 3.0.1 |
Ochrona kryptograficzna
Id: NIST SP 800-53 Rev. 5 SC-8 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight | Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Microsoft Managed Control 1641 — Poufność i integralność transmisji | Kryptograficzna lub alternatywna ochrona fizyczna | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 3.0.1 |
Rozłączanie sieci
ID: NIST SP 800-53 Rev. 5 SC-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1642 — rozłączanie sieci | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Tworzenie i zarządzanie kluczami kryptograficznymi
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 SC-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać kluczy zarządzanych przez klienta do szyfrowania danych kopii zapasowej | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem przechowywanym w danych kopii zapasowej. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/AB-CmkEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: dane usługi IoT Hub device provisioning powinny być szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK) | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi aprowizacji urządzeń usługi IoT Hub. Dane są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/dps/CMK. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Konta usługi Azure Automation powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku kont usługi Azure Automation. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/automation-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konto usługi Azure Batch powinno używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych danych konta usługi Batch. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/Batch-CMK. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Grupa kontenerów usługi Azure Container Instance powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie kontenerów dzięki większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/cosmosdb-cmk. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Zadania usługi Azure Data Box powinny używać klucza zarządzanego przez klienta do szyfrowania hasła odblokowywania urządzenia | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie hasła odblokowywania urządzenia dla urządzenia Azure Data Box. Klucze zarządzane przez klienta ułatwiają również zarządzanie dostępem do hasła odblokowywania urządzenia przez usługę Data Box, aby przygotować urządzenie i skopiować dane w zautomatyzowany sposób. Dane na samym urządzeniu są już szyfrowane w spoczynku przy użyciu szyfrowania Advanced Encryption Standard 256-bitowego, a hasło odblokowywania urządzenia jest domyślnie szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Szyfrowanie magazynowane w usłudze Azure Data Explorer powinno używać klucza zarządzanego przez klienta | Włączenie szyfrowania magazynowanych przy użyciu klucza zarządzanego przez klienta w klastrze usługi Azure Data Explorer zapewnia dodatkową kontrolę nad kluczem używanym przez szyfrowanie magazynowane. Ta funkcja jest często stosowana do klientów z specjalnymi wymaganiami dotyczącymi zgodności i wymaga usługi Key Vault do zarządzania kluczami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Fabryki danych platformy Azure powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Data Factory. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/adf-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klastry usługi Azure HDInsight powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych klastrów usługi Azure HDInsight. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/hdi.cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania na hoście do szyfrowania danych magazynowanych | Włączenie szyfrowania na hoście pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu szyfrowania na hoście dane przechowywane na hoście maszyny wirtualnej są szyfrowane w spoczynku i przepływy szyfrowane w usłudze Storage. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Edukacja przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.3 |
| Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Zadania usługi Azure Stream Analytics powinny używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby bezpiecznie przechowywać wszelkie metadane i prywatne zasoby danych zadań usługi Stream Analytics na koncie magazynu. Zapewnia to całkowitą kontrolę nad sposobem szyfrowania danych usługi Stream Analytics. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby kontrolować szyfrowanie danych przechowywanych w obszarach roboczych usługi Azure Synapse. Klucze zarządzane przez klienta zapewniają podwójne szyfrowanie przez dodanie drugiej warstwy szyfrowania na podstawie domyślnego szyfrowania za pomocą kluczy zarządzanych przez usługę. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Bot Service powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta | Usługa Azure Bot Service automatycznie szyfruje zasób w celu ochrony danych i spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Domyślnie używane są klucze szyfrowania zarządzane przez firmę Microsoft. Aby uzyskać większą elastyczność zarządzania kluczami lub kontrolowania dostępu do subskrypcji, wybierz klucze zarządzane przez klienta, znane również jako bring your own key (BYOK). Dowiedz się więcej o szyfrowaniu usługi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę i większą elastyczność zarządzania kluczami. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta usług Cognitive Services powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta | Klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przechowywanych w usługach Cognitive Services za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o kluczach zarządzanych przez klienta na stronie https://go.microsoft.com/fwlink/?linkid=2121321. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/acr/CMK. | Inspekcja, Odmowa, Wyłączone | 1.1.2 |
| Przestrzenie nazw centrum zdarzeń powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Event Hubs obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Event Hub do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Event Hub obsługuje szyfrowanie tylko przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w dedykowanych klastrach. | Inspekcja, wyłączone | 1.0.0 |
| Środowisko usługi integracji usługi Logic Apps powinno być szyfrowane przy użyciu kluczy zarządzanych przez klienta | Wdróż w środowisku usługi integracji, aby zarządzać szyfrowaniem w spoczynku danych usługi Logic Apps przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na https://aka.ms/disks-doubleEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Microsoft Managed Control 1643 — tworzenie i zarządzanie kluczami kryptograficznymi | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Zapisane zapytania w usłudze Azure Monitor powinny być zapisywane na koncie magazynu klienta na potrzeby szyfrowania dzienników | Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Przestrzenie nazw usługi Service Bus Premium powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Service Bus obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Service Bus do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Service Bus obsługuje tylko szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w warstwie Premium. | Inspekcja, wyłączone | 1.0.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Zakresy szyfrowania konta magazynu powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza magazynu kluczy platformy Azure utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o zakresach szyfrowania konta magazynu na stronie https://aka.ms/encryption-scopes-overview. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
Dostępność
ID: NIST SP 800-53 Rev. 5 SC-12 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1644 — kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi | Dostępność | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Klucze symetryczne
ID: NIST SP 800-53 Rev. 5 SC-12 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1645 — kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi | Klucze symetryczne | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Klucze asymetryczne
ID: NIST SP 800-53 Rev. 5 SC-12 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1646 — kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi | Klucze asymetryczne | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Ochrona kryptograficzna
ID: NIST SP 800-53 Rev. 5 SC-13 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1647 — korzystanie z kryptografii | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Urządzenia i aplikacje do współpracy obliczeniowej
ID: NIST SP 800-53 Rev. 5 SC-15 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 — urządzenia do współpracy | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1649 — Urządzenia do współpracy | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Certyfikaty infrastruktury kluczy publicznych
ID: NIST SP 800-53 Rev. 5 SC-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1650 — certyfikaty infrastruktury kluczy publicznych | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Kod dla urządzeń przenośnych
ID: NIST SP 800-53 Rev. 5 SC-18 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1651 — kod mobilny | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1652 — kod mobilny | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1653 — kod mobilny | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Bezpieczna nazwa/usługa rozpoznawania adresów (autorytatywne źródło)
ID: NIST SP 800-53 Rev. 5 SC-20 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 — bezpieczna nazwa/usługa rozpoznawania adresów (autorytatywne źródło) | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1657 — bezpieczna nazwa/usługa rozpoznawania adresów (autorytatywne źródło) | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Bezpieczna nazwa/usługa rozpoznawania adresów (rekursywna lub Buforowanie Rozpoznawanie nazw)
ID: NIST SP 800-53 Rev. 5 SC-21 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 — bezpieczna nazwa/usługa rozpoznawania adresów (rekursywna lub Buforowanie resolver) | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Architektura i aprowizowanie dla usługi rozpoznawania nazw/adresów
ID: NIST SP 800-53 Rev. 5 SC-22 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 — architektura i aprowizowanie dla nazwy/usługi rozpoznawania adresów | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Autentyczność sesji
ID: NIST SP 800-53 Rev. 5 SC-23 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 — Uwierzytelnianie sesji | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Unieważnianie identyfikatorów sesji podczas wylogowywanie
ID: NIST SP 800-53 Rev. 5 SC-23 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1661 — Uwierzytelnianie sesji | Unieważnianie identyfikatorów sesji podczas wylogowywanie | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Niepowodzenie w znanym stanie
Identyfikator: NIST SP 800-53 Rev. 5 SC-24 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1662 — niepowodzenie w znanym stanie | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Ochrona informacji magazynowanych
Identyfikator: NIST SP 800-53 Rev. 5 SC-28 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne | Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Inspekcja, wyłączone | 1.0.1 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu | Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) | Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania | Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer | Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Microsoft Managed Control 1663 — ochrona informacji magazynowanych | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Ochrona kryptograficzna
ID: NIST SP 800-53 Rev. 5 SC-28 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne | Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Inspekcja, wyłączone | 1.0.1 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu | Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) | Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania | Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer | Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Microsoft Managed Control 1437 — Media Transport | Ochrona kryptograficzna | Firma Microsoft implementuje tę kontrolkę ochrony multimediów | inspekcje | 1.0.0 |
| Microsoft Managed Control 1664 — ochrona informacji magazynowanych | Ochrona kryptograficzna | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Izolacja procesu
ID: NIST SP 800-53 Rev. 5 SC-39 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1665 — izolacja procesu | Firma Microsoft implementuje tę kontrolę systemu i ochrony komunikacji | inspekcje | 1.0.0 |
Integralność systemu i informacji
Zasady i procedury
ID: NIST SP 800-53 Rev. 5 SI-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 — zasady i procedury integralności informacji i systemu | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1667 — zasady i procedury integralności informacji | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Korygowanie błędów
ID: NIST SP 800-53 Rev. 5 SI-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ | Inspekcja, wyłączone | 1.0.2 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1668 — korygowanie błędów | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1669 — korygowanie błędów | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1670 — korygowanie błędów | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1671 — korygowanie błędów | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
| Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję sprawdzającą, czy nie brakuje żadnych aktualizacji zabezpieczeń systemu i aktualizacji krytycznych, które powinny być zainstalowane, aby zapewnić bezpieczeństwo zestawów skalowania maszyn wirtualnych z systemami Windows i Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. | AuditIfNotExists, Disabled | 3.0.0 |
Stan zautomatyzowanego korygowania błędów
ID: NIST SP 800-53 Rev. 5 SI-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1673 — Korygowanie błędów | Stan zautomatyzowanego korygowania błędów | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Czas korygowania wad i testów porównawczych dla akcji naprawczych
ID: NIST SP 800-53 Rev. 5 SI-2 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1674 — Korygowanie błędów | Czas korygowania wad/testów porównawczych dla akcji naprawczych | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1675 — Korygowanie błędów | Czas korygowania wad/testów porównawczych dla akcji naprawczych | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Usuwanie poprzednich wersji oprogramowania i oprogramowania układowego
ID: NIST SP 800-53 Rev. 5 SI-2 (6) Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ | Inspekcja, wyłączone | 1.0.2 |
Złośliwa ochrona kodu
ID: NIST SP 800-53 Rev. 5 SI-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1676 — złośliwa ochrona kodu | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1677 — złośliwa ochrona kodu | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1678 — złośliwa ochrona kodu | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1679 — złośliwa ochrona kodu | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1681 — złośliwa ochrona kodu | Automatyczne Aktualizacje | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1682 — złośliwa ochrona kodu | Wykrywanie nieprzypisane | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Monitorowanie systemu
ID: NIST SP 800-53 Rev. 5 SI-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1683 — Monitorowanie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1684 — Monitorowanie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1685 — Monitorowanie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1686 — Monitorowanie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1687 — Monitorowanie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1688 — Monitorowanie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1689 — Monitorowanie systemu informacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
System wykrywania włamań w całym systemie
ID: NIST SP 800-53 Rev. 5 SI-4 (1) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1690 — Monitorowanie systemu informacyjnego | System wykrywania nieautoryzowanego dostępu w całym systemie | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Zautomatyzowane narzędzia i mechanizmy analizy w czasie rzeczywistym
ID: NIST SP 800-53 Rev. 5 SI-4 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1691 — Monitorowanie systemu informacyjnego | Zautomatyzowane narzędzia do analizy w czasie rzeczywistym | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Ruch przychodzący i wychodzący komunikacji
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 SI-4 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1692 — Monitorowanie systemu informacyjnego | Ruch przychodzący i wychodzący komunikacji | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Alerty generowane przez system
ID: NIST SP 800-53 Rev. 5 SI-4 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1693 — Monitorowanie systemu informacyjnego | Alerty generowane przez system | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Analizowanie anomalii ruchu komunikacyjnego
ID: NIST SP 800-53 Rev. 5 SI-4 (11) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1694 — Monitorowanie systemu informacyjnego | Analizowanie anomalii ruchu komunikacyjnego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Zautomatyzowane alerty generowane przez organizację
ID: NIST SP 800-53 Rev. 5 SI-4 (12) Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Wykrywanie nieautoryzowanego dostępu bezprzewodowego
ID: NIST SP 800-53 Rev. 5 SI-4 (14) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1695 — Monitorowanie systemu informacyjnego | Wykrywanie nieautoryzowanego dostępu bezprzewodowego | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Korelowanie informacji monitorowania
ID: NIST SP 800-53 Rev. 5 SI-4 (16) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1696 — Monitorowanie systemu informacyjnego | Korelowanie informacji monitorowania | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Analizowanie ruchu i eksfiltracji covert
ID: NIST SP 800-53 Rev. 5 SI-4 (18) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1697 — Monitorowanie systemu informacyjnego | Analizowanie ruchu/eksfiltracji covert | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Ryzyko dla osób fizycznych
ID: NIST SP 800-53 Rev. 5 SI-4 (19) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1698 — Monitorowanie systemu informacyjnego | Osoby stwarzające większe ryzyko | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Uprzywilejowani użytkownicy
ID: NIST SP 800-53 Rev. 5 SI-4 (20) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1699 — Monitorowanie systemu informacyjnego | Uprzywilejowani użytkownicy | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Nieautoryzowane usługi sieciowe
ID: NIST SP 800-53 Rev. 5 SI-4 (22) Własność: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1700 — Monitorowanie systemu informacyjnego | Nieautoryzowane usługi sieciowe | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Urządzenia oparte na hoście
ID: NIST SP 800-53 Rev. 5 SI-4 (23) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1701 — Monitorowanie systemu informacyjnego | Urządzenia oparte na hoście | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Wskaźniki naruszenia zabezpieczeń
ID: NIST SP 800-53 Rev. 5 SI-4 (24) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1702 — Monitorowanie systemu informacyjnego | Wskaźniki naruszenia zabezpieczeń | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Alerty zabezpieczeń, biuletyny i dyrektywy
IDENTYFIKATOR: NIST SP 800-53 Rev. 5 SI-5 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 — Alerty zabezpieczeń i biuletyny | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1704 — Alerty zabezpieczeń i biuletyny | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1705 — Alerty zabezpieczeń i biuletyny | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1706 — Alerty zabezpieczeń i biuletyny | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Zautomatyzowane alerty i biuletyny
Id: NIST SP 800-53 Rev. 5 SI-5 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 — Alerty zabezpieczeń i biuletyny | Zautomatyzowane alerty i biuletyny | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Weryfikacja funkcji zabezpieczeń i prywatności
ID: NIST SP 800-53 Rev. 5 SI-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1708 — weryfikacja funkcjonalności zabezpieczeń | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1709 — weryfikacja funkcjonalności zabezpieczeń | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1710 — weryfikacja funkcjonalności zabezpieczeń | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1711 — weryfikacja funkcjonalności zabezpieczeń | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Oprogramowanie, oprogramowanie układowe i integralność informacji
ID: NIST SP 800-53 Rev. 5 SI-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 — integralność oprogramowania i informacji | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Sprawdzanie integralności
Id: NIST SP 800-53 Rev. 5 SI-7 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 — Oprogramowanie i integralność informacji | Sprawdzanie integralności | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Automatyczne powiadomienia o naruszeniach integralności
ID: NIST SP 800-53 Rev. 5 SI-7 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 — Oprogramowanie i integralność informacji | Automatyczne powiadomienia o naruszeniach integralności | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Automatyczna odpowiedź na naruszenia integralności
ID: NIST SP 800-53 Rev. 5 SI-7 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 — Integralność oprogramowania i informacji | Automatyczne reagowanie na naruszenia integralności | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Integracja wykrywania i reagowania
ID: NIST SP 800-53 Rev. 5 SI-7 (7) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 — Oprogramowanie i integralność informacji | Integracja wykrywania i reagowania | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Ochrona przed spamem
ID: NIST SP 800-53 Rev. 5 SI-8 Ownership: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 — Ochrona przed spamem | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1720 — Ochrona przed spamem | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Aktualizacje automatyczne
ID: NIST SP 800-53 Rev. 5 SI-8 (2) Własność: Microsoft
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1722 — Ochrona przed spamem | Automatyczne Aktualizacje | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Walidacja danych wejściowych informacji
ID: NIST SP 800-53 Rev. 5 SI-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 — weryfikacja danych wejściowych informacji | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Obsługa błędów
Id: NIST SP 800-53 Rev. 5 SI-11 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 — obsługa błędów | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Microsoft Managed Control 1725 — obsługa błędów | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Zarządzanie informacjami i przechowywanie
ID: NIST SP 800-53 Rev. 5 SI-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1726 — obsługa i przechowywanie informacji | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
Ochrona pamięci
ID: NIST SP 800-53 Rev. 5 SI-16 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Managed Control 1727 — Ochrona pamięci | Firma Microsoft implementuje tę kontrolę integralności systemu i informacji | inspekcje | 1.0.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.