Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página é um índice de definições de política internas Azure Policy relacionadas a Microsoft Defender para Nuvem. Os seguintes agrupamentos de definições de política estão disponíveis:
- O grupo initiatives lista as definições de iniciativa Azure Policy na categoria "Defender para Nuvem".
- O grupo default initiative lista todas as definições de Azure Policy que fazem parte da iniciativa padrão da Defender para Nuvem, Microsoft cloud security benchmark. Esse parâmetro de comparação de Microsoft amplamente respeitado baseia-se em controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST) com foco na segurança centrada na nuvem.
- O grupo category lista todas as definições de Azure Policy na categoria "Defender para Nuvem".
Para obter mais informações sobre políticas de segurança, confira Trabalhando com políticas de segurança. Para outros Azure Policy internos para outros serviços, consulte Azure Policy definições internas.
O nome de cada definição de política interna vincula-se à definição de política no portal Azure. Use o link na coluna Version para exibir a origem no repositório Azure Policy GitHub.
Microsoft Defender para Nuvem iniciativas
Para saber mais sobre as iniciativas internas monitoradas por Defender para Nuvem, consulte a seguinte tabela:
| Name | Description | Policies | Version |
|---|---|---|---|
| [Versão prévia]: implantar Microsoft Defender para Ponto de Extremidade agente | Implante Microsoft Defender para Ponto de Extremidade agente em imagens aplicáveis. | 4 | 1.0.0-preview |
| [Versão prévia]: Microsoft benchmark de segurança de nuvem v2 | A iniciativa de parâmetro de comparação de segurança de nuvem Microsoft representa as políticas e controles que implementam recomendações de segurança definidas em Microsoft benchmark de segurança na nuvem, consulte https://aka.ms/azsecbm. Isso também serve como a Microsoft Defender para Nuvem iniciativa de política padrão. Você pode atribuir diretamente essa iniciativa ou gerenciar suas políticas e resultados de conformidade em Microsoft Defender para Nuvem. | 414 | 1.3.0-preview |
| Configurar Proteção Avançada contra Ameaças para ser habilitado em bancos de dados relacionais de software livre | Habilite Proteção Avançada contra Ameaças em seus bancos de dados relacionais de software livre de camada não básica para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Consulte https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configuração Azure Defender para ser habilitado em SQL Servers e Instâncias Gerenciadas de SQL | Habilite Azure Defender em seus SQL Servers e Instâncias Gerenciadas de SQL para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | 3 | 3.0.0 |
| Configure Microsoft Defender para Nuvem planos | Microsoft Defender para Nuvem fornece proteções abrangentes e nativas de nuvem do desenvolvimento ao runtime em ambientes de várias nuvens. Use a iniciativa de política para configurar Defender para Nuvem planos e extensões a serem habilitados em escopos selecionados. | 12 | 1.1.0 |
| Configurar Microsoft Defender para bancos de dados a serem habilitados | Configure Microsoft Defender para bancos de dados para proteger seus bancos de dados SQL do Azure, instâncias gerenciadas, bancos de dados relacionais de software livre e Cosmos DB. | 4 | 1.0.0 |
| Configurar várias configurações de integração Microsoft Defender para Ponto de Extremidade com Microsoft Defender para Nuvem | Defina as várias configurações de integração Microsoft Defender para Ponto de Extremidade com Microsoft Defender para Nuvem (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | 3 | 1.0.0 |
| Configurar VMs SQL e SQL Servers habilitadas para Arc para instalar Microsoft Defender extensão | Microsoft Defender para SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | 3 | 1.0.0 |
| Configurar VMs SQL e SQL Servers habilitadas para Arc para instalar Microsoft Defender para SQL e AMA com um workspace la | Microsoft Defender para SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e uma regra de coleta de dados e Log Analytics workspace na mesma região que o computador. | 9 | 1.3.0 |
| Configurar VMs SQL e SQL Servers habilitadas para Arc para instalar Microsoft Defender para SQL e AMA com um workspace la definido pelo usuário | Microsoft Defender para SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e uma regra de coleta de dados na mesma região que o workspace Log Analytics definido pelo usuário. | 8 | 1.2.0 |
| Microsoft cloud security benchmark | A iniciativa de parâmetro de comparação de segurança de nuvem Microsoft representa as políticas e controles que implementam recomendações de segurança definidas em Microsoft benchmark de segurança na nuvem, consulte https://aka.ms/azsecbm. Isso também serve como a Microsoft Defender para Nuvem iniciativa de política padrão. Você pode atribuir diretamente essa iniciativa ou gerenciar suas políticas e resultados de conformidade em Microsoft Defender para Nuvem. | 223 | 57.56.0 |
Iniciativa padrão do Defender para Nuvem (Microsoft benchmark de segurança na nuvem)
Para saber mais sobre as políticas internas monitoradas por Defender para Nuvem, consulte a seguinte tabela:
| Nome da política (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra possíveis ameaças restringindo o acesso a elas com Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desabilitado | 3.0.0-preview | |
| [Versão prévia]: Azure Arc clusters do Kubernetes habilitados devem ter Microsoft Defender para Nuvem extensão instalada | Microsoft Defender para Nuvem extensão para Azure Arc fornece proteção contra ameaças para seus clusters kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o Azure Defender para back-end do Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Versão prévia]: Azure servidor flexível postgreSQL deve ter Microsoft Entra Autenticação Somente habilitada | Desabilitar métodos de autenticação local e permitir apenas Microsoft Entra Autenticação melhora a segurança, garantindo que Azure servidor flexível do PostgreSQL possa ser acessado exclusivamente por identidades Microsoft Entra. | Audit, desabilitado | 1.0.0-preview |
| [Versão prévia]: Azure Stack servidores HCI devem ter políticas de controle de aplicativo impostas consistentemente | No mínimo, aplique o Microsoft política base do WDAC no modo imposto em todos os servidores HCI Azure Stack. As políticas de WDAC (Controle de Aplicativos) Windows Defender aplicadas devem ser consistentes entre servidores no mesmo cluster. | Auditar, desabilitado, AuditIfNotExists | 1.0.0-preview |
| [Versão prévia]: Azure Stack servidores HCI devem atender aos requisitos de núcleo protegido | Verifique se todos os servidores HCI Azure Stack atendem aos requisitos de núcleo protegido. Para habilitar os requisitos de servidor de núcleo protegido: 1. Na página Azure Stack clusters HCI, vá para Windows Admin Center e selecione Conectar. 2. Acesse a extensão Segurança e selecione Núcleo Protegido. 3. Selecione qualquer configuração que não esteja habilitada e clique em Habilitar. | Auditar, desabilitado, AuditIfNotExists | 1.0.0-preview |
| [Versão prévia]: Azure Stack sistemas HCI devem ter volumes criptografados | Use o BitLocker para criptografar o sistema operacional e os volumes de dados em sistemas Azure Stack HCI. | Auditar, desabilitado, AuditIfNotExists | 1.0.0-preview |
| [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | Instale a extensão atestado de convidado em máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Linux Confidenciais e de Início Confiável. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Linux Confidencial. | AuditIfNotExists, desabilitado | 5.1.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | AuditIfNotExists, desabilitado | 4.0.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica ao Início Confiável e aos conjuntos de dimensionamento de máquinas virtuais do Windows Confidencial. | AuditIfNotExists, desabilitado | 3.1.0-preview |
| [Versão prévia]: a rede de host e VM deve ser protegida em Azure Stack sistemas HCI | Proteja dados na rede de hosts HCI Azure Stack e em conexões de rede de máquina virtual. | Auditar, desabilitado, AuditIfNotExists | 1.0.0-preview |
| [Versão prévia]: as máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por fornecedores confiáveis. Defender para Nuvem identificou componentes de inicialização do sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2-preview |
| [Versão prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado em Windows máquinas virtuais | A Central de Segurança usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2-preview |
| [Versão prévia]: a Inicialização Segura deve ser habilitada em máquinas virtuais Windows com suporte | Habilite a Inicialização Segura em máquinas virtuais de Windows com suporte para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | Audit, desabilitado | 4.0.0-preview |
| [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | Habilite o dispositivo TPM virtual em máquinas virtuais compatíveis para facilitar Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável. | Audit, desabilitado | 2.0.0-preview |
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| A administrador de Microsoft Entra deve ser provisionado para servidores MySQL | Audite o provisionamento de um administrador de Microsoft Entra para o servidor MySQL para habilitar a autenticação Microsoft Entra. Microsoft Entra autenticação permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidade de usuários de banco de dados e outros serviços Microsoft | AuditIfNotExists, desabilitado | 1.1.1 |
| A administrador de Microsoft Entra deve ser provisionado para servidores PostgreSQL | Audite o provisionamento de um administrador Microsoft Entra para seu servidor PostgreSQL para habilitar a autenticação Microsoft Entra. Microsoft Entra autenticação permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidade de usuários de banco de dados e outros serviços Microsoft | AuditIfNotExists, desabilitado | 1.0.1 |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. Central de Segurança do Azure tipo de preço padrão inclui verificação de vulnerabilidade para suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Um administrador de Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador de Azure Active Directory para seu SQL Server para habilitar Azure autenticação do AD. Azure autenticação do AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| os pontos de extremidade API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados em Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça de API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desabilitado | 1.0.1 |
| os pontos de extremidade API não utilizados devem ser desabilitados e removidos do serviço Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas podem ter sido acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desabilitado | 1.0.1 |
| As APIs do Gerenciamento de API devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos inseguros, como HTTP ou WS. | Auditoria, desabilitado, negação | 2.0.2 |
| As chamadas do Gerenciamento de API para back-ends de API devem ser autenticadas | As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric. | Auditoria, desabilitado, negação | 1.0.1 |
| As chamadas do Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome | Para melhorar a segurança da API, o Gerenciamento de API deve validar o certificado do servidor de back-end para todas as chamadas à API. Habilite a validação da impressão digital e do nome do certificado SSL. | Auditoria, desabilitado, negação | 1.0.2 |
| O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve estar habilitado | A API REST de gerenciamento direto em Gerenciamento de API do Azure ignora Azure Resource Manager mecanismos de controle de acesso baseado em função, autorização e limitação, aumentando assim a vulnerabilidade do serviço. | Auditoria, desabilitado, negação | 1.0.2 |
| API Management secret named values should be stored in Azure Key Vault | Os valores nomeados são uma coleção global de pares de nome/valor em cada serviço do Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos em Azure Key Vault. Para melhorar a segurança do Gerenciamento de API e segredos, faça referência a valores nomeados do segredo de Azure Key Vault. Azure Key Vault dá suporte ao gerenciamento de acesso granular e a políticas de rotação de segredo. | Auditoria, desabilitado, negação | 1.0.2 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | Rede Virtual do Azure implantação fornece segurança, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| O Gerenciamento de APIs deve desabilitar o acesso à rede pública nos pontos de extremidade de configuração do serviço | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade com pontos de extremidade de configuração de serviço, como a API de gerenciamento de acesso direto, o ponto de extremidade de gerenciamento de configuração do Git ou o ponto de extremidade de configuração de gateways auto-hospedados. | AuditIfNotExists, desabilitado | 1.0.1 |
| As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter escopo para um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditoria, desabilitado, negação | 1.1.0 |
| A Configuração de Aplicativos deve usar um link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.2.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria em seu SQL Server deve ser habilitada para acompanhar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticar em uma máquina virtual do Linux Azure por SSH é com um par de chaves público-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 3.2.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
| Azure os recursos dos Serviços de IA devem criptografar dados em repouso com uma CMK (chave gerenciada pelo cliente) | O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. | Audit, Deny, desabilitado | 2.2.0 |
| Azure os recursos dos Serviços de IA devem ter o acesso de chave desabilitado (desabilitar autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. Azure OpenAI Studio, normalmente usado no desenvolvimento/teste, requer acesso à chave e não funcionará se o acesso à chave estiver desabilitado. Depois de desabilitar, Microsoft Entra ID se torna o único método de acesso, que permite manter o princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Azure os recursos dos Serviços de IA devem restringir o acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser feito configurando regras de rede para que somente aplicativos de redes permitidas possam acessar o serviço de IA Azure. | Audit, Deny, desabilitado | 3.3.0 |
| Azure os recursos dos Serviços de IA devem usar Link Privado do Azure | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado reduz os riscos de vazamento de dados manipulando a conectividade entre o consumidor e os serviços na rede de backbone Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Audit, desabilitado | 1.0.0 |
| Gerenciamento de API do Azure versão da plataforma deve ser stv2 | Gerenciamento de API do Azure versão da plataforma de computação stv1 será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, desabilitado | 1.0.0 |
| Azure Arc clusters do Kubernetes habilitados devem ter a extensão Azure Policy instalada | A extensão Azure Policy para Azure Arc fornece imposição e proteções em escala em seus clusters kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | AuditIfNotExists, desabilitado | 1.1.0 |
| Backup do Azure deve ser habilitado para Máquinas Virtuais | Verifique a proteção do Máquinas Virtuais do Azure habilitando Backup do Azure. Backup do Azure é uma solução de proteção de dados segura e econômica para Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
| Cache do Azure para Redis deve usar o link privado | Os pontos de extremidade privados permitem que você conecte sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para suas instâncias de Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Cosmos DB contas devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.1.0 |
| Azure Cosmos DB contas devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Azure Cosmos DB deve desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que a conta do CosmosDB não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição da conta do CosmosDB. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Databricks Clusters devem desabilitar o IP público | Desabilitar o IP público de clusters em Azure Databricks Workspaces melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Saiba mais em: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, desabilitado | 1.0.1 |
| Azure Databricks Workspaces devem estar em uma rede virtual | Azure Redes Virtuais fornecem segurança e isolamento aprimorados para seus workspaces de Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Saiba mais em: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, desabilitado | 1.0.2 |
| Azure Databricks Workspaces devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, desabilitado | 1.0.1 |
| Azure Databricks Workspaces devem usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para Azure Databricks workspaces, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. | Audit, desabilitado | 1.0.2 |
| Azure Proteção contra DDoS deve estar habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
| Azure Defender para o Serviço de Aplicativo deve estar habilitado | Azure Defender para o Serviço de Aplicativo aproveita a escala da nuvem e a visibilidade que Azure tem como provedor de nuvem, para monitorar ataques comuns de aplicativo Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| Azure Defender para servidores Banco de Dados SQL do Azure devem ser habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Azure Defender para Key Vault devem ser habilitados | Azure Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| Azure Defender para bancos de dados relacionais de software livre devem ser habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Defender para Resource Manager devem ser habilitados | Azure Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas. Saiba mais sobre os recursos de Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar esse plano de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Defender para servidores devem ser habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| Azure Defender para servidores SQL em computadores deve ser habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis postgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Defender para SQL devem ser habilitados para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| Grade de Eventos do Azure domínios devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Grade de Eventos do Azure tópicos devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Azure Key Vault deve ter o firewall habilitado ou o acesso à rede pública desabilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público ou desabilite o acesso à rede pública para o cofre de chaves para que ele não seja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security e https://aka.ms/akvprivatelink | Audit, Deny, desabilitado | 3.3.0 |
| Azure Key Vault deve usar o modelo de permissão RBAC | Habilite o modelo de permissão RBAC em Key Vaults. Saiba mais em: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, desabilitado | 1.0.1 |
| Azure Key Vaults devem usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Serviço de Kubernetes do Azure clusters devem ter Defender perfil habilitado | Microsoft Defender para contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster de Serviço de Kubernetes do Azure, um agente é implantado em seu cluster para coletar dados de eventos de segurança. Saiba mais sobre Microsoft Defender para contêineres no https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, desabilitado | 2.0.1 |
| Azure Machine Learning instâncias de computação devem ser recriadas para obter as atualizações de software mais recentes | Verifique se Azure Machine Learning instâncias de computação são executadas no sistema operacional disponível mais recente. A segurança é melhorada e as vulnerabilidades reduzidas pela execução dos últimos patches de segurança. Para obter mais informações, visite https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Computes devem estar em uma rede virtual | Azure Redes Virtuais fornecem segurança e isolamento aprimorados para seus Azure Machine Learning Clusters e Instâncias de Computação, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada a partir de máquinas e aplicativos virtuais dentro da rede virtual. | Audit, desabilitado | 1.0.1 |
| Azure Machine Learning Computes devem ter métodos de autenticação locais desabilitados | Desabilitar métodos de autenticação local melhora a segurança, garantindo que Machine Learning Computação exijam Azure Active Directory identidades exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Audit, Deny, desabilitado | 2.1.0 |
| Azure Machine Learning workspaces devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso Azure Machine Learning dados do workspace com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, desabilitado | 1.1.0 |
| Azure Machine Learning Workspaces devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que os workspaces Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Deny, desabilitado | 2.0.1 |
| Azure Machine Learning workspaces devem usar link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Azure Machine Learning workspaces, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Azure servidor flexível MySQL deve ter Microsoft Entra Somente Autenticação habilitada | Desabilitar métodos de autenticação local e permitir apenas Microsoft Entra Autenticação melhora a segurança, garantindo que Azure servidor flexível MySQL possa ser acessado exclusivamente por identidades Microsoft Entra. | AuditIfNotExists, desabilitado | 1.0.1 |
| Azure Policy complemento do AKS (serviço kubernetes) deve ser instalado e habilitado em seus clusters | Azure Policy complemento para AKS (serviço kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para OPA (Open Policy Agent), para aplicar imposição e proteções em escala em seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
| Azure imagens de contêiner do Registro devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desabilitado | 1.0.1 |
| Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| Serviço do Azure SignalR deve usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para o recurso Serviço do Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Azure Spring Cloud deve usar injeção de rede | Azure instâncias do Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole Azure Spring Cloud da Internet. 2. Habilite Azure Spring Cloud para interagir com sistemas em data centers locais ou Azure serviço em outras redes virtuais. 3. Capacitar os clientes a controlar as comunicações de rede de entrada e saída para Azure Spring Cloud. | Auditoria, desabilitado, negação | 1.2.0 |
| Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente melhora a segurança, garantindo que seus Banco de Dados SQL do Azure só possam ser acessados de clientes usando o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, desabilitado, negação | 2.0.0 |
| Banco de Dados SQL do Azure deve ter a autenticação somente Microsoft Entra habilitada | Exigir que SQL do Azure servidores lógicos usem a autenticação somente Microsoft Entra. Essa política não impede que os servidores sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.0.0 |
| SQL do Azure servidores lógicos devem ter a autenticação somente Microsoft Entra habilitada durante a criação | Exigir que SQL do Azure servidores lógicos sejam criados com autenticação somente Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.3.0 |
| Instância Gerenciada de SQL do Azure deve ter a autenticação somente Microsoft Entra habilitada | Exigir Instância Gerenciada de SQL do Azure usar a autenticação somente Microsoft Entra. Essa política não impede que SQL do Azure instâncias gerenciadas sejam criadas com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.0.0 |
| SQL do Azure Instâncias Gerenciadas devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública (ponto de extremidade público) em SQL do Azure Instâncias Gerenciadas melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de pontos de extremidade privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Audit, Deny, desabilitado | 1.0.0 |
| SQL do Azure Instâncias Gerenciadas devem ter a autenticação somente Microsoft Entra habilitada durante a criação | Exija que Instância Gerenciada de SQL do Azure sejam criados com a autenticação somente Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.2.0 |
| Firewall de Aplicativo Web do Azure deve ser habilitado para Azure Front Door pontos de entrada | Implante Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. Firewall de Aplicativo Web (WAF) fornece proteção centralizada de seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeções de SQL, script entre sites, execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| As contas desbloqueadas com permissões de proprietário em Azure recursos devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| as contas Blocked com permissões de leitura e gravação em Azure recursos devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os certificados devem ter o período máximo de validade especificado | Gerenciar seus requisitos de conformidade organizacional especificando o período de tempo máximo em que um certificado permanece válido no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.2.1 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Audit, Deny, desabilitado | 1.1.2 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Azure registros de contêiner, por padrão, aceite conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui:https://aka.ms/acr/privatelinkhttps://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem usar um link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também será protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas de banco de dados do Cosmos DB devem ter os métodos de autenticação local desabilitados | Desabilitar métodos de autenticação local melhora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam exclusivamente Azure Active Directory identidades para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, desabilitado | 1.1.0 |
| As contas do CosmosDB devem usar um link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| os logs Diagnostic em Serviços de IA do Azure recursos devem ser habilitados | Habilitar logs para recursos de Serviços de IA do Azure. Isso permite recriar trilhas de atividade para fins de investigação, quando ocorrer um incidente de segurança ou sua rede for comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.2.0 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.1.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | Banco de Dados do Azure para MySQL dá suporte à conexão do servidor Banco de Dados do Azure para MySQL a aplicativos cliente usando o SSL (Secure Sockets Layer). Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | Banco de Dados do Azure para PostgreSQL dá suporte à conexão do servidor Banco de Dados do Azure para PostgreSQL a aplicativos cliente usando o SSL (Secure Sockets Layer). Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.1.0 |
| Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.1.0 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.1.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.3.0 |
| Backup com redundância degeo deve ser habilitado para Banco de Dados do Azure para MariaDB | Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para o servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| Backup com redundância degeo deve ser habilitado para Banco de Dados do Azure para MySQL | Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para o servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância Geo deve ser habilitado para Banco de Dados do Azure para PostgreSQL | Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para o servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| as contas Guest com permissões de proprietário em Azure recursos devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| contas Guest com permissões de leitura em Azure recursos devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| as contas Guest com permissões de gravação em Azure recursos devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como "Windows o Exploit Guard deve ser habilitado". Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Key Vault chaves devem ter uma data de validade | As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. | Audit, Deny, desabilitado | 1.0.2 |
| Key Vault segredos devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. | Audit, Deny, desabilitado | 1.0.2 |
| Os cofres de chaves devem ter a proteção contra exclusão habilitadas | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização ou Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão reversível. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.1.0 |
| Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | Bloqueie os contêineres de pod de compartilhar o namespace da ID do processo de host, o namespace de IPC do host e o namespace de rede do host em um cluster do Kubernetes. Essa recomendação se alinha aos Padrões de Segurança de Pod do Kubernetes para namespaces de host e faz parte do CIS 5.2.1, 5.2.2 e 5.2.3, que se destinam a melhorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 6.0.0 |
| Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.1 |
| Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.3.0 |
| Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.3.0 |
| Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | Restrinja o acesso de pod à rede de host e às portas de host permitidas em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a melhorar a segurança de seus ambientes do Kubernetes e se alinha ao PSS (Padrões de Segurança de Pod) para hostPorts. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 7.0.0 |
| Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.2.0 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está disponível para o AKS (Serviço de Kubernetes) e em versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, visite https://aka.ms/kubepolicydoc | Audit, Deny, desabilitado | 9.0.0 |
| Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.2.0 |
| Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 8.0.0 |
| Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
| Os clusters do Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.2.0 |
| os computadores Linux devem atender aos requisitos da linha de base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações no Azure linha de base de segurança de computação. | AuditIfNotExists, desabilitado | 2.3.1 |
| as máquinas virtuais Linux devem habilitar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma, discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.2.1 |
| Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, desabilitado | 3.9.0 |
| Os computadores devem ter as descobertas secretas resolvidas | Audita máquinas virtuais para detectar se elas contêm descobertas secretas das soluções de verificação do segredo em suas máquinas virtuais. | AuditIfNotExists, desabilitado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just-In-Time) à rede será monitorado por Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| GPSN do Defender Microsoft deve estar habilitado | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para APIs devem ser habilitadas | Microsoft Defender para APIs traz nova descoberta, proteção, detecção e cobertura de resposta para monitorar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists, desabilitado | 1.0.3 |
| Microsoft Defender para contêineres devem ser habilitados | Microsoft Defender para Contêineres fornece proteções de proteção de proteção de tempo de execução, avaliação de vulnerabilidade e proteções de tempo de execução para seus ambientes kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para SQL deve ser habilitado para workspaces do Synapse desprotegidos | Habilite Defender para o SQL proteger seus workspaces do Synapse. Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para Armazenamento deve estar habilitado | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Observador de Rede deve ser habilitado | Observador de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede dentro e de Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| Conexões seguras somente para seu Cache do Azure para Redis devem estar habilitadas | Auditar a habilitação somente de conexões por meio do SSL para Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| as conexões de ponto de extremidade Private no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem a comunicação segura habilitando a conectividade privada para Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem a comunicação segura habilitando a conectividade privada para Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive em Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem a comunicação segura habilitando a conectividade privada para Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive em Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem a comunicação segura habilitando a conectividade privada para Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive em Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O acesso à rede Public no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| O acesso à rede pública deve ser desabilitado para servidores MariaDB | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e verifique se sua Banco de Dados do Azure para MariaDB só pode ser acessada de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou IP. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores MySQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e verifique se seu Banco de Dados do Azure para MySQL só pode ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou IP. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e verifique se sua Banco de Dados do Azure para PostgreSQL só pode ser acessada de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou rede virtual. | Audit, Deny, desabilitado | 2.0.1 |
| os logs Resource no Azure Data Lake Store devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| os logs Resource em workspaces Azure Databricks devem ser habilitados | Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desabilitado | 1.0.1 |
| os logs Resource no Serviço de Kubernetes do Azure devem ser habilitados | Os logs de recursos do Serviço de Kubernetes do Azure podem ajudar a recriar trilhas de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existam quando necessário | AuditIfNotExists, desabilitado | 1.0.0 |
| os logs Resource em workspaces Azure Machine Learning devem estar habilitados | Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desabilitado | 1.0.1 |
| os logs Resource no Azure Stream Analytics devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| os logs Resource no Data Lake Analytics devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| os logs Resource no Hub IoT devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 3.1.0 |
| os logs Resource no Key Vault devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| os logs Resource no Barramento de Serviço devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | Para fornecer filtragem granular nas ações que os usuários podem executar, use Role-Based Controle de Acesso (RBAC) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| os clusters Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Fabric de serviço fornece três níveis de proteção (None, Sign e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
| Service Fabric clusters só devem usar Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio de Azure Active Directory no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar Transparent Data Encryption (TDE) com sua própria chave fornece maior transparência e controle sobre o Protetor de TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
| O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de computadores | Para garantir que as VMs do SQL e os SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento de Azure direcionado ao SQL está configurado para implantar automaticamente. Isso também é necessário se você já configurou o provisionamento automático do agente de monitoramento de Microsoft, pois esse componente está sendo preterido. Saiba mais: https://aka.ms/SQLAMAMigration | AuditIfNotExists, desabilitado | 1.0.0 |
| Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar Transparent Data Encryption (TDE) com sua própria chave fornece maior transparência e controle sobre o Protetor de TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists, desabilitado | 3.0.0 |
| O acesso público da conta de armazenamento não deve ser permitido | O acesso de leitura pública anônimo a contêineres e blobs em Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos à segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário a exija. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 3.1.1 |
| as contas Storage devem ser migradas para novos recursos de Azure Resource Manager | Use novos Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas em Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos Azure Autenticação baseada em AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
| As contas de armazenamento devem impedir o acesso de chave compartilhada | Requisito de auditoria de Azure Active Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais Azure Active Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança e facilidade de uso superiores em relação à Chave Compartilhada e é recomendado por Microsoft. | Audit, Deny, desabilitado | 2.0.0 |
| As contas de armazenamento devem impedir o acesso de chave compartilhada (excluindo contas de armazenamento criadas pelo Databricks) | Requisito de auditoria de Azure Active Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais Azure Active Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança e facilidade de uso superiores em relação à Chave Compartilhada e é recomendado por Microsoft. | Audit, Deny, desabilitado | 1.0.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais Azure específicas ou para intervalos de endereços IP da Internet públicos | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual (excluindo contas de armazenamento criadas pelo Databricks) | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
| As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
| As contas de armazenamento devem usar um link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| As contas de armazenamento devem usar o link privado (excluindo as contas de armazenamento criadas pelo Databricks) | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 1.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de Controle de Acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| os workspaces Synapse devem ter a autenticação somente Microsoft Entra habilitada | Exigir workspaces do Synapse para usar a autenticação somente Microsoft Entra. Essa política não impede que workspaces sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Audit, Deny, desabilitado | 1.0.0 |
| Synapse Workspaces devem usar apenas identidades Microsoft Entra para autenticação durante a criação do workspace | Exigir que workspaces do Synapse sejam criados com autenticação somente Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Audit, Deny, desabilitado | 1.2.0 |
| As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização) | As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. | AuditIfNotExists, desabilitado | 1.0.1 |
| Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
| Transparent Data Encryption em bancos de dados SQL devem ser habilitados | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
| os computadores Virtual devem ser migrados para novos recursos de Azure Resource Manager | Use novas Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas em Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos Azure Autenticação baseada em AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. Azure máquinas virtuais no escopo dessa política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída pelo sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
| Os modelos do Construtor de Imagens de VM devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
| os gateways VPN devem usar apenas a autenticação Azure Active Directory (Azure AD) para usuários ponto a site | Desabilitar métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas Azure Active Directory identidades para autenticação. Saiba mais sobre Azure autenticação do AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, desabilitado | 1.0.0 |
| A avaliação Vulnerability deve ser habilitada no Instância Gerenciada de SQL | Audite cada Instância Gerenciada de SQL que não tem verificações de avaliação de vulnerabilidade recorrentes habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 1.0.1 |
| A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | Audite SQL do Azure servidores que não têm a avaliação de vulnerabilidade configurada corretamente. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 3.0.0 |
| Firewall de Aplicativo Web (WAF) deve ser habilitado para o Gateway de Aplicativo | Implante Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. Firewall de Aplicativo Web (WAF) fornece proteção centralizada de seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeções de SQL, script entre sites, execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
| Windows Defender Exploit Guard deve estar habilitado em seus computadores | Windows Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas balanceem seus requisitos de risco de segurança e produtividade (apenas Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
| Windows computadores devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 4.1.1 |
| Windows computadores devem atender aos requisitos da linha de base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações no Azure linha de base de segurança de computação. | AuditIfNotExists, desabilitado | 2.1.1 |
| Windows máquinas virtuais devem habilitar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma, discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.1.1 |
categoria Microsoft Defender para Nuvem
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em seu computador Linux do Arc | Instale a Extensão ChangeTracking em computadores Linux Arc para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual Linux | Instale a extensão ChangeTracking em máquinas virtuais do Linux para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em seu computador Windows Arc | Instale a extensão ChangeTracking em computadores Windows Arc para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual Windows | Instale a extensão ChangeTracking em máquinas virtuais Windows para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configurar Azure Defender para o SQL Agent na máquina virtual | Configure Windows computadores para instalar automaticamente o Azure Defender do SQL Agent em que o agente de Azure Monitor está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e Log Analytics workspace na mesma região que o computador. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão de Atestado de Convidado | Configure conjuntos de dimensionamento de máquinas virtuais do Linux com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 6.1.0-preview |
| [Versão prévia]: configurar máquinas virtuais do Linux compatíveis para habilitar a Inicialização Segura automaticamente | Configure as máquinas virtuais do Linux compatíveis para habilitar automaticamente a Inicialização Segura a fim de atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. | DeployIfNotExists, desabilitado | 5.0.0-preview |
| [Versão prévia]: configurar as máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado | Configure máquinas virtuais do Linux com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 7.1.0-preview |
| [Versão prévia]: configurar máquinas virtuais com suporte para habilitar vTPM automaticamente | Configure máquinas virtuais compatíveis para habilitar automaticamente o vTPM a fim de facilitar a Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configure conjuntos de dimensionamento de máquinas virtuais de Windows com suporte para instalar automaticamente a extensão atestado de convidado | Configure Windows conjuntos de dimensionamento de máquinas virtuais com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 4.1.0-preview |
| [Versão prévia]: configure máquinas virtuais de Windows com suporte para habilitar automaticamente a Inicialização Segura | Configure Windows máquinas virtuais com suporte para habilitar automaticamente a Inicialização Segura para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. | DeployIfNotExists, desabilitado | 3.0.0-preview |
| [Versão prévia]: configure máquinas virtuais de Windows com suporte para instalar automaticamente a extensão atestado de convidado | Configure Windows máquinas virtuais com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 5.1.0-preview |
| [Versão prévia]: configurar VMs criadas com imagens Galeria de Imagens Compartilhadas para instalar a extensão atestado de convidado | Configure máquinas virtuais criadas com Galeria de Imagens Compartilhadas imagens para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configurar o VMSS criado com imagens Galeria de Imagens Compartilhadas para instalar a extensão atestado de convidado | Configure o VMSS criado com Galeria de Imagens Compartilhadas imagens para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 2.1.0-preview |
| [Versão prévia]: implantar Microsoft Defender para Ponto de Extremidade agente em computadores híbridos linux | Implanta Microsoft Defender para Ponto de Extremidade agente em computadores híbridos do Linux | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.1-preview |
| [Versão prévia]: implantar Microsoft Defender para Ponto de Extremidade agente em máquinas virtuais linux | Implanta Microsoft Defender para Ponto de Extremidade agente em imagens de VM do Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 3.0.0-preview |
| [Versão prévia]: implantar Microsoft Defender para Ponto de Extremidade agente em computadores Windows Azure Arc | Implanta Microsoft Defender para Ponto de Extremidade em computadores Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.1-preview |
| [Versão prévia]: implantar Microsoft Defender para Ponto de Extremidade agente em máquinas virtuais Windows | Implanta Microsoft Defender para Ponto de Extremidade em imagens de VM Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.1-preview |
| [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | Instale a extensão atestado de convidado em máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Linux Confidenciais e de Início Confiável. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Linux Confidencial. | AuditIfNotExists, desabilitado | 5.1.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | AuditIfNotExists, desabilitado | 4.0.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica ao Início Confiável e aos conjuntos de dimensionamento de máquinas virtuais do Windows Confidencial. | AuditIfNotExists, desabilitado | 3.1.0-preview |
| [Versão prévia]: as máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por fornecedores confiáveis. Defender para Nuvem identificou componentes de inicialização do sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: as máquinas virtuais do Linux devem usar a Inicialização Segura | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais do Linux compatíveis. A Inicialização segura garante que somente os drivers e sistemas operacionais assinados tenham permissão para serem executados. Essa avaliação só se aplica às máquinas virtuais do Linux que têm o agente de Azure Monitor instalado. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: os computadores devem ter portas fechadas que possam expor vetores de ataque | os Termos de Uso da Azure proíbem o uso de serviços Azure de maneiras que possam danificar, desabilitar, sobrecarregar ou prejudicar qualquer servidor Microsoft ou a rede. As portas expostas identificadas por essa recomendação precisam ser fechadas para a manutenção da sua segurança. Para cada porta identificada, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: a Inicialização Segura deve ser habilitada em máquinas virtuais Windows com suporte | Habilite a Inicialização Segura em máquinas virtuais de Windows com suporte para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | Audit, desabilitado | 4.0.0-preview |
| [Versão prévia]: o status de atestado de convidado de máquinas virtuais deve ser íntegro | O atestado de convidado é executado enviando um TCGLog (log confiável) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Essa avaliação destina-se a detectar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infecção do kit de inicialização ou do rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Início Confiável que têm a extensão de Atestado de Convidado instalada. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | Habilite o dispositivo TPM virtual em máquinas virtuais compatíveis para facilitar Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável. | Audit, desabilitado | 2.0.0-preview |
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. Central de Segurança do Azure tipo de preço padrão inclui verificação de vulnerabilidade para suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| os pontos de extremidade API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados em Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça de API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desabilitado | 1.0.1 |
| os pontos de extremidade API não utilizados devem ser desabilitados e removidos do serviço Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas podem ter sido acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desabilitado | 1.0.1 |
| Assign System Assigned identity to SQL Máquinas Virtuais | Atribua a identidade atribuída pelo sistema em escala a máquinas virtuais Windows SQL. | DeployIfNotExists, desabilitado | 1.0.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| Azure Proteção contra DDoS deve estar habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
| Azure Defender para o Serviço de Aplicativo deve estar habilitado | Azure Defender para o Serviço de Aplicativo aproveita a escala da nuvem e a visibilidade que Azure tem como provedor de nuvem, para monitorar ataques comuns de aplicativo Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| Azure Defender para servidores Banco de Dados SQL do Azure devem ser habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Azure Defender para Key Vault devem ser habilitados | Azure Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| Azure Defender para bancos de dados relacionais de software livre devem ser habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Defender para Resource Manager devem ser habilitados | Azure Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas. Saiba mais sobre os recursos de Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar esse plano de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Defender para servidores devem ser habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| Azure Defender para servidores SQL em computadores deve ser habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis postgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure imagens de contêiner do Registro devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desabilitado | 1.0.1 |
| Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| As contas desbloqueadas com permissões de proprietário em Azure recursos devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| as contas Blocked com permissões de leitura e gravação em Azure recursos devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| A extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais do Linux | Instale a extensão ChangeTracking em conjuntos de dimensionamento de máquinas virtuais do Linux para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.1 |
| A extensãoChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais Windows | Instale a extensão ChangeTracking em Windows conjuntos de dimensionamento de máquinas virtuais para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.1 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a vulnerabilidades do sistema operacional. | AuditIfNotExists, desabilitado | 1.0.0 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido), garantindo que as mais recentes atualizações críticas e de segurança sejam instaladas nelas. | AuditIfNotExists, desabilitado | 1.0.0 |
| Configurar Proteção Avançada contra Ameaças para ser habilitado no banco de dados Azure para servidores flexíveis do MySQL | Habilite Proteção Avançada contra Ameaças em seu banco de dados Azure para servidores flexíveis do MySQL para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Proteção Avançada contra Ameaças para ser habilitado no banco de dados Azure para servidores flexíveis do PostgreSQL | Habilite Proteção Avançada contra Ameaças em seu banco de dados Azure para servidores flexíveis do PostgreSQL para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar servidores SQL habilitados para Arc para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão Azure Monitor Agent em seu Windows SQL Servers habilitado para Arc. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.3.0 |
| Configurar sql servers habilitados para Arc para instalar automaticamente Microsoft Defender para SQL | Configure Windows SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender para o SQL Agent. Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar sql servers habilitados para Arc para instalar automaticamente Microsoft Defender para SQL e DCR com um workspace Log Analytics | Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e Log Analytics workspace na mesma região que o computador. | DeployIfNotExists, desabilitado | 1.6.0 |
| Configuração do SQL Server habilitado para o Arc para instalar automaticamente Microsoft Defender para SQL e DCR com um workspace la definido pelo usuário | Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma regra de coleta de dados na mesma região que o workspace Log Analytics definido pelo usuário. | DeployIfNotExists, desabilitado | 1.8.0 |
| Configure Arc habilitado para SQL Servers com Associação de Regras de Coleta de Dados para Microsoft Defender para SQL DCR | Configure a associação entre os SQL Servers habilitados para Arc e o Microsoft Defender para o SQL DCR. A exclusão dessa associação interromperá a detecção de vulnerabilidades de segurança desse SQL Server habilitado para Arc. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configure Arc habilitado para SQL Servers com Associação de Regras de Coleta de Dados para Microsoft Defender para DCR definido pelo usuário do SQL | Configure a associação entre os SQL Servers habilitados para Arc e o Microsoft Defender para o DCR definido pelo usuário do SQL. A exclusão dessa associação interromperá a detecção de vulnerabilidades de segurança desse SQL Server habilitado para Arc. | DeployIfNotExists, desabilitado | 1.3.0 |
| Configure Azure Defender para que o Serviço de Aplicativo seja habilitado | Azure Defender para o Serviço de Aplicativo aproveita a escala da nuvem e a visibilidade que Azure tem como provedor de nuvem, para monitorar ataques comuns de aplicativo Web. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configure Azure Defender para que SQL do Azure banco de dados seja habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configuração Azure Defender para que bancos de dados relacionais de software livre sejam habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Azure Defender para Resource Manager ser habilitado | Azure Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas. Saiba mais sobre os recursos de Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar esse plano de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configure Azure Defender para que os servidores sejam habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar Azure Defender para servidores SQL em computadores a serem habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configure basic Microsoft Defender for Storage to be enabled (Activity Monitoring only) | Microsoft Defender para Armazenamento fornece detecção de ameaças nativas Azure para contas de armazenamento. Essa política habilita recursos básicos (Monitoramento de Atividades). Para proteção total, incluindo verificação de malware e descoberta de dados confidenciais, use aka.ms/DFStoragePolicy. Atualização de versão principal: o PerTransaction não tem mais suporte para novas habilitações após 5 de fevereiro de 2025. As contas existentes que utilizam isso continuam a ser suportadas. Saiba mais: aka.ms/DF-Storage/NewPlanMigration. | DeployIfNotExists, desabilitado | 2.0.0 |
| Configurar a extensão ChangeTracking para máquinas Linux Arc | Configure computadores Linux Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Linux | Configure conjuntos de dimensionamento de máquinas virtuais do Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configurar a extensão ChangeTracking para máquinas virtuais Linux | Configure máquinas virtuais do Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.2.0 |
| Extensão Configure ChangeTracking para computadores Windows Arc | Configure os computadores Windows Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configure ChangeTracking Extension for Windows virtual machine scale sets | Configure Windows conjuntos de dimensionamento de máquinas virtuais para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.1.0 |
| Extensão Configure ChangeTracking para máquinas virtuais Windows | Configure Windows máquinas virtuais para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.2.0 |
| Configurar os computadores para receber um provedor de avaliação de vulnerabilidade | Azure Defender inclui verificação de vulnerabilidade para seus computadores sem custo adicional. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança. Quando você habilita essa política, Azure Defender implanta automaticamente o provedor de avaliação de vulnerabilidades do Qualys em todos os computadores com suporte que ainda não a têm instalado. | DeployIfNotExists, desabilitado | 4.0.0 |
| Configurar plano do Microsoft GPSN do Defender | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Microsoft GPSN do Defender a ser habilitado | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | DeployIfNotExists, desabilitado | 1.0.2 |
| Configurar Microsoft Defender para Azure Cosmos DB ser habilitado | Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa Azure que detecta tentativas de explorar bancos de dados em suas contas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta possíveis injeções de SQL, maus atores conhecidos com base em Microsoft Inteligência contra Ameaças, padrões de acesso suspeitos e potenciais explorações de seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Microsoft Defender para contêineres | Novos recursos estão sendo adicionados continuamente a Defender para o plano contêineres, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. | DeployIfNotExists, desabilitado | 1.5.0 |
| Configurar Microsoft Defender para contêineres a serem habilitados | Microsoft Defender para Contêineres fornece proteções de proteção de proteção de tempo de execução, avaliação de vulnerabilidade e proteções de tempo de execução para seus ambientes kubernetes Azure, híbridos e multinuvem. | DeployIfNotExists, desabilitado | 1.0.1 |
| configurações de integração Configure Microsoft Defender para Ponto de Extremidade com Microsoft Defender para Nuvem (WDATP_EXCLUDE_LINUX...) | Define as configurações de integração Microsoft Defender para Ponto de Extremidade, em Microsoft Defender para Nuvem (também conhecidas como WDATP_EXCLUDE_LINUX_...), para habilitar o provisionamento automático de servidores MDE para Linux. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurações de integração de Microsoft Defender para Ponto de Extremidade com Microsoft Defender para Nuvem (WDATP_UNIFIED_SOLUTION) | Define as configurações de integração Microsoft Defender para Ponto de Extremidade, em Microsoft Defender para Nuvem (também conhecidas como WDATP_UNIFIED_SOLUTION), para habilitar o provisionamento automático do MDE Unified Agent para Windows Server 2012R2 e 2016. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurações de integração de Microsoft Defender para Ponto de Extremidade com Microsoft Defender para Nuvem (WDATP) | Define as configurações de integração Microsoft Defender para Ponto de Extremidade, em Microsoft Defender para Nuvem (também conhecido como WDATP), para Windows computadores de nível inferior integrados ao MDE via MMA e provisionamento automático de MDE no Windows Server 2019, Windows Área de Trabalho Virtual e superior. Deve ser ativado para que as outras configurações (WDATP_UNIFIED etc.) funcionem. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configure Microsoft Defender para Key Vault plano | Microsoft Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar Microsoft Defender para Servidores | Novos recursos estão sendo adicionados continuamente ao Defender para Servidores, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configure Microsoft Defender for Servers plan (P1 OR P2) | Garante que o subplano Microsoft Defender selecionado para Servidores (P1 ou P2) esteja habilitado no nível da assinatura. Essa política dá suporte à seleção dinâmica por meio de parâmetros e impõe a implantação se ainda não estiver configurada. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configure Microsoft Defender para o SQL a ser habilitado em workspaces do Synapse | Habilite Microsoft Defender para SQL em seus workspaces Azure Synapse para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados SQL. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Microsoft Defender para Armazenamento a ser habilitado | Microsoft Defender para Armazenamento é uma camada nativa Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Essa política habilitará todos os Defender para recursos de Armazenamento; Monitoramento de atividades, verificação de malware e detecção de ameaças de dados confidenciais. Para saber mais sobre Defender para recursos e benefícios de armazenamento, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desabilitado | 1.5.0 |
| Configure Microsoft Defender proteção contra ameaças para serviços de IA | Novos recursos estão sendo adicionados continuamente à proteção contra ameaças para os Serviços de IA, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar Máquinas Virtuais SQL para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão Azure Monitor Agent no Máquinas Virtuais do SQL Windows. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.6.0 |
| Configure SQL Máquinas Virtuais para instalar automaticamente Microsoft Defender para SQL | Configure Windows sql Máquinas Virtuais para instalar automaticamente o Microsoft Defender para a extensão SQL. Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desabilitado | 1.6.0 |
| Configure SQL Máquinas Virtuais instalar automaticamente Microsoft Defender para SQL e DCR com um workspace Log Analytics | Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e Log Analytics workspace na mesma região que o computador. | DeployIfNotExists, desabilitado | 1.9.0 |
| Máquinas Virtuais SQL do Configure para instalar automaticamente Microsoft Defender para SQL e DCR com um workspace la definido pelo usuário | Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma regra de coleta de dados na mesma região que o workspace Log Analytics definido pelo usuário. | DeployIfNotExists, desabilitado | 1.10.0 |
| Configure SQL Máquinas Virtuais instalar automaticamente Microsoft Defender para extensão sql | Configure Windows sql Máquinas Virtuais para instalar automaticamente o Microsoft Defender para a extensão SQL. Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desabilitado | 1.0.0 |
| Configure o Microsoft Defender para o workspace do SQL Log Analytics | Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e Log Analytics workspace na mesma região que o computador. | DeployIfNotExists, desabilitado | 1.5.0 |
| Criar e atribuir uma identidade gerenciada interna atribuída pelo usuário | Crie e atribua identidades gerenciadas integradas atribuídas pelo usuário às máquinas virtuais do SQL em larga escala. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.8.0 |
| Deploy – Configurar regras de supressão para alertas de Central de Segurança do Azure | Suprime Central de Segurança do Azure alertas para reduzir a fadiga de alertas implantando regras de supressão em seu grupo de gerenciamento ou assinatura. | deployIfNotExists | 1.0.0 |
| Deploy exportar para o Hub de Eventos como um serviço confiável para dados Microsoft Defender para Nuvem | Habilite a exportação para o Hub de Eventos como um serviço confiável de dados Microsoft Defender para Nuvem. Essa política implanta uma exportação para o Hub de Eventos como uma configuração de serviço confiável com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | DeployIfNotExists, desabilitado | 1.0.0 |
| exportação Deploy para o Hub de Eventos para dados Microsoft Defender para Nuvem | Habilite a exportação para o Hub de Eventos de Microsoft Defender para Nuvem dados. Esta política implanta uma configuração de exportação para o Hub de Eventos com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.2.0 |
| exportação Deploy para Log Analytics workspace para dados Microsoft Defender para Nuvem | Habilite a exportação para Log Analytics workspace de dados Microsoft Defender para Nuvem. Essa política implanta uma exportação para Log Analytics configuração de workspace com suas condições e workspace de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender para Nuvem alerts | Habilitar a automação de alertas de Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender para Nuvem recommendations | Habilitar a automação de recomendações de Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender para Nuvem regulatory compliance | Habilitar a automação de Microsoft Defender para Nuvem conformidade regulatória. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.2.0 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.1.0 |
| Enable Microsoft Defender para Nuvem em sua assinatura | Identifica assinaturas existentes que não são monitoradas por Microsoft Defender para Nuvem e as protege com os recursos gratuitos do Defender para Nuvem. As assinaturas já monitoradas serão consideradas em conformidade. Para registrar assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição relevante que não esteja em conformidade e crie uma tarefa de correção. | deployIfNotExists | 1.0.1 |
| Permitir que a Central de Segurança provisione automaticamente o agente de Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um workspace personalizado. | DeployIfNotExists, desabilitado | 1.0.0 | |
| Permitir que a Central de Segurança provisione automaticamente o agente de Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando o workspace padrão do ASC. | DeployIfNotExists, desabilitado | 1.0.0 | |
| Habilitar a proteção contra ameaças para cargas de trabalho de IA | Microsoft proteção contra ameaças para cargas de trabalho de IA fornece alertas de segurança contextualizados baseados em evidências com o objetivo de proteger aplicativos de IA generativos de uso doméstico | DeployIfNotExists, desabilitado | 1.0.0 |
| as contas Guest com permissões de proprietário em Azure recursos devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| contas Guest com permissões de leitura em Azure recursos devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| as contas Guest com permissões de gravação em Azure recursos devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como "Windows o Exploit Guard deve ser habilitado". Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior | Audit, desabilitado | 1.0.2 |
| Log Analytics agente deve ser instalado em suas instâncias de função dos Serviços de Nuvem (suporte estendido) | A Central de Segurança coleta dados das instâncias de função dos Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os computadores devem ter as descobertas secretas resolvidas | Audita máquinas virtuais para detectar se elas contêm descobertas secretas das soluções de verificação do segredo em suas máquinas virtuais. | AuditIfNotExists, desabilitado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just-In-Time) à rede será monitorado por Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| GPSN do Defender Microsoft deve estar habilitado | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para Serviços de IA deve estar habilitado | Audite para ver se Microsoft Defender para Serviços de IA está habilitado na assinatura. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para APIs devem ser habilitadas | Microsoft Defender para APIs traz nova descoberta, proteção, detecção e cobertura de resposta para monitorar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists, desabilitado | 1.0.3 |
| Microsoft Defender para Azure Cosmos DB devem ser habilitados | Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa Azure que detecta tentativas de explorar bancos de dados em suas contas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta possíveis injeções de SQL, maus atores conhecidos com base em Microsoft Inteligência contra Ameaças, padrões de acesso suspeitos e potenciais explorações de seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para contêineres devem ser habilitados | Microsoft Defender para Contêineres fornece proteções de proteção de proteção de tempo de execução, avaliação de vulnerabilidade e proteções de tempo de execução para seus ambientes kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para SQL deve ser habilitado para workspaces do Synapse desprotegidos | Habilite Defender para o SQL proteger seus workspaces do Synapse. Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft Defender para Armazenamento deve estar habilitado | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | Para fornecer filtragem granular nas ações que os usuários podem executar, use Role-Based Controle de Acesso (RBAC) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.1.0 |
| O tipo de preço Standard da Central de Segurança deve ser selecionado | O tipo de preço padrão permite a detecção de ameaças para redes e máquinas virtuais, fornecendo inteligência contra ameaças, detecção de anomalias e análise de comportamento em Central de Segurança do Azure | Audit, desabilitado | 1.1.0 |
| Configurar assinaturas para fazer a transição para uma solução alternativa de avaliação de vulnerabilidade | Microsoft Defender para nuvem oferece verificação de vulnerabilidade para seus computadores sem custo adicional. Habilitar essa política fará com que Defender para Nuvem propagar automaticamente as descobertas da solução interna de gerenciamento de vulnerabilidades Microsoft Defender para todos os computadores com suporte. | DeployIfNotExists, desabilitado | 1.0.0-preview |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de computadores | Para garantir que as VMs do SQL e os SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento de Azure direcionado ao SQL está configurado para implantar automaticamente. Isso também é necessário se você já configurou o provisionamento automático do agente de monitoramento de Microsoft, pois esse componente está sendo preterido. Saiba mais: https://aka.ms/SQLAMAMigration | AuditIfNotExists, desabilitado | 1.0.0 |
| Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de Controle de Acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização) | As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. | AuditIfNotExists, desabilitado | 1.0.1 |
| Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. Azure máquinas virtuais no escopo dessa política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída pelo sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Próximas etapas
Neste artigo, você aprendeu sobre Azure Policy definições de política de segurança no Defender para Nuvem. Para saber mais sobre iniciativas, políticas e como elas se relacionam com as recomendações do Defender para Nuvem, consulte O que são políticas de segurança, iniciativas e recomendações?.