Compartilhar via


Detalhes da iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark 1.3.0

O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no CIS Microsoft Azure Foundations Benchmark 1.3.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark 1.3.0. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .

Os mapeamentos a seguir referem-se aos controles do CIS Microsoft Azure Foundations Benchmark 1.3.0. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição da iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark v1.3.0.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

1 Gerenciamento de identidades e acesso

Garantir que a autenticação multifator esteja habilitada para todos os usuários privilegiados

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.10 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0

Verificar se a opção 'Os usuários podem registrar aplicativos' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.11 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0

Verificar se a opção 'As permissões de usuário convidado são limitadas' está definida como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.12 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Verificar se a opção 'Os membros podem convidar' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.13 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Verificar se a opção 'Os convidados podem convidar' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.14 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Verificar se a opção 'Restringir o acesso ao portal de administração do Azure AD' está definida como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.15 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Verificar se a opção 'Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.16 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Verificar se a opção 'Os usuários podem criar grupos de segurança nos portais do Azure' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.17 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Verificar se a opção 'Os proprietários podem gerenciar solicitações de associação a um grupo no Painel de Acesso' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.18 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Verificar se a opção 'Os usuários podem criar grupos do Microsoft 365 nos portais do Azure' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.19 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Garantir que a autenticação multifator esteja habilitada para todos os usuários não privilegiados

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0

Verificar se a opção 'Exigir autenticação multifator para ingressar em dispositivos' está definida como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.20 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Atender aos requisitos de qualidade do token CMA_0487 – Atender aos requisitos de qualidade do token Manual, Desabilitado 1.1.0

Garantir que nenhuma função personalizada de proprietário de assinatura seja criada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.21 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Verificar se os padrões de segurança estão habilitados no Azure Active Directory

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.22 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Autenticar-se no módulo de criptografia CMA_0021 – Autenticar-se no módulo de criptografia Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Atender aos requisitos de qualidade do token CMA_0487 – Atender aos requisitos de qualidade do token Manual, Desabilitado 1.1.0

Verificar se a função personalizada está atribuída para administrar bloqueios de recursos

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.23 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Verifique se os usuários convidados são examinados mensalmente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Reatribuir ou remover privilégios de usuário conforme o necessário CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0
Examinar os privilégios do usuário CMA_C1039 – Examinar os privilégios do usuário Manual, Desabilitado 1.1.0

Verificar se a opção 'Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam' está 'Desabilitada'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Atender aos requisitos de qualidade do token CMA_0487 – Atender aos requisitos de qualidade do token Manual, Desabilitado 1.1.0

Verificar se a opção 'Número de dias até que seja solicitada a reconfirmação das informações de autenticação dos usuários' não está definida como "0"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.6 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0

Verificar se a opção 'Notificar usuários sobre redefinições de senha?' está definida como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.7 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Implementar treinamento para proteção de autenticadores CMA_0329 – Implementar treinamento para proteção de autenticadores Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0

Verificar se a opção 'Notificar todos os administradores quando outros administradores redefinirem as respectivas senhas?' está definida como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.8 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Implementar treinamento para proteção de autenticadores CMA_0329 – Implementar treinamento para proteção de autenticadores Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Monitorar atribuição de função com privilégios CMA_0378 – Monitorar atribuição de função com privilégios Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Usar o Privileged Identity Management CMA_0533 – Usar o Privileged Identity Management Manual, Desabilitado 1.1.0

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.9 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0

2 Central de Segurança

Verifique se o Azure Defender está definido como Ativado em Servidores

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verificar se a integração do MCAS (Microsoft Cloud App Security) com a Central de Segurança está selecionada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.10 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verificar se 'Provisionamento automático do agente de monitoramento' está definido como 'Ativo'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.11 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar operações de segurança CMA_0202 – Documentar operações de segurança Manual, Desabilitado 1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade Manual, Desabilitado 1.1.0

Verificar se alguma das configurações de política padrão da CSA não está definida como "Desabilitada"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.12 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar ações para os dispositivos sem conformidade CMA_0062 – Configurar ações para os dispositivos sem conformidade Manual, Desabilitado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 – Desenvolver e manter configurações de linha de base Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer um comitê de controle de configuração CMA_0254 – Estabelecer um comitê de controle de configuração Manual, Desabilitado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Implementar uma ferramenta de gerenciamento de configuração automatizada CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada Manual, Desabilitado 1.1.0

Verifique se há 'Endereços de email adicionais' configurados com um email de contato de segurança

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.13 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1

Verifique se 'Notificar sobre alertas com a seguinte gravidade' está definido como 'Alto'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.14 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.2.0

Verifique se o Azure Defender está definido como Ativado em Serviço de Aplicativo

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verifique se o Azure Defender está definido como Ativado em servidores de banco de dados SQL do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verifique se o Azure Defender está definido como Ativado em servidores SQL nos computadores

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verifique se o Azure Defender está definido como Ativado em Armazenamento

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verifique se o Azure Defender está definido como Ativado em Kubernetes

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.6 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verifique se o Azure Defender está definido como Ativado em Registros de Contêiner

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.7 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verifique se o Azure Defender está definido como Ativado em Key Vault

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.8 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Verificar se a integração do WDATP (Windows Defender ATP) à Central de Segurança está selecionada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.9 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

3 Contas de armazenamento

Garantir que "Transferência segura necessária" esteja definida como "Habilitado"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0

Verificar se o log de armazenamento está habilitado para o serviço Blob para solicitações de leitura, gravação e exclusão

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.10 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Configurar as funcionalidades da Auditoria do Azure CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure Manual, Desabilitado 1.1.1
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Verificar se o log de armazenamento do serviço Tabela está habilitado para solicitações de leitura, gravação e exclusão

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.11 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Configurar as funcionalidades da Auditoria do Azure CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure Manual, Desabilitado 1.1.1
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Verificar se as chaves de acesso da conta de armazenamento são regeneradas periodicamente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia Manual, Desabilitado 1.1.0
Determinar os requisitos da declaração CMA_0136 – Determinar os requisitos da declaração Manual, Desabilitado 1.1.0
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0
Gerenciar chaves de criptografia simétricas CMA_0367 – Gerenciar chaves de criptografia simétricas Manual, Desabilitado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0

Verificar se o log de armazenamento do serviço Fila está habilitado para solicitações de leitura, gravação e exclusão

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Configurar as funcionalidades da Auditoria do Azure CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure Manual, Desabilitado 1.1.1
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Verificar se os tokens de assinatura de acesso compartilhado expiram em até uma hora

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Encerrar a sessão do usuário automaticamente CMA_C1054 – Encerrar a sessão do usuário automaticamente Manual, Desabilitado 1.1.0

Verificar se "Nível de acesso público" está definido como Privado para contêineres de blobs

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 3.1.0 – versão prévia
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Garantir que a regra de acesso de rede padrão para Contas de Armazenamento estejam definidas como negar

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.6 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Audit, Deny, desabilitado 1.0.1

Garantir que a opção 'Serviços Confiáveis da Microsoft' esteja habilitada para acesso à conta de armazenamento

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.7 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. Audit, Deny, desabilitado 1.0.0

Verifique se o armazenamento de dados críticos está criptografado com a Chave Gerenciada pelo Cliente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.9 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, desabilitado 1.0.3

4 Serviços de banco de dados

Garantir que "Auditoria" esteja definida como "Ativado"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Garantir que a 'Criptografia de Dados' esteja definida como 'Ativado' em um Banco de Dados SQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0

Garantir que a retenção de "Auditoria" seja "maior que 90 dias"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Controlar e monitorar atividades de processamento de auditoria CMA_0289 – Controlar e monitorar atividades de processamento de auditoria Manual, Desabilitado 1.1.0
Reter procedimentos e políticas de segurança CMA_0454 – Reter procedimentos e políticas de segurança Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. AuditIfNotExists, desabilitado 3.0.0

Verifique se a ATP (Proteção Avançada contra Ameaças) em um SQL Server está definida como 'Habilitada'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0

Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 3.0.0

Verificar se a configuração de VA de Verificações recorrentes periódicas está habilitada em um SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Verifique se a configuração de VA "Enviar relatórios de verificação para" está configurada para um SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Correlacionar as informações da verificação de vulnerabilidade CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade Manual, Desabilitado 1.1.1
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Verificar se a configuração de VA 'Também enviar notificações por email a administradores e proprietários da assinatura" está definida para um SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Correlacionar as informações da verificação de vulnerabilidade CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade Manual, Desabilitado 1.1.1
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Garantir que a opção 'Impor conexão SSL' esteja definida para 'HABILITADO' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0

Garantir que a opção 'Impor conexão SSL' esteja definida para 'HABILITADO' para o servidor de banco de dados MySQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0

Garantir que o parâmetro de servidor 'log_checkpoints' seja definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Os pontos de verificação de log devem ser habilitados para os servidores de banco de dados PostgreSQL Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_checkpoints habilitada. AuditIfNotExists, desabilitado 1.0.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Garantir que o parâmetro de servidor 'log_connections' seja definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
As conexões de log devem ser habilitadas para os servidores de banco de dados PostgreSQL Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_connections habilitada. AuditIfNotExists, desabilitado 1.0.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Garantir que o parâmetro de servidor 'log_disconnections' seja definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
As desconexões devem ser registradas em log para os servidores de banco de dados PostgreSQL. Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem log_disconnections habilitada. AuditIfNotExists, desabilitado 1.0.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Garantir que o parâmetro de servidor 'connection_throttling' seja definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.6 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
A limitação de conexão deve estar habilitada para os servidores de banco de dados PostgreSQL Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a limitação de conexão habilitada. Essa configuração permite a otimização temporária da conexão por IP para muitas falhas inválidas de login de senha. AuditIfNotExists, desabilitado 1.0.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Verificar se o parâmetro de servidor 'log_retention_days' é maior que três dias para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.7 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Controlar e monitorar atividades de processamento de auditoria CMA_0289 – Controlar e monitorar atividades de processamento de auditoria Manual, Desabilitado 1.1.0
Reter procedimentos e políticas de segurança CMA_0454 – Reter procedimentos e políticas de segurança Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0

Verificar se a opção 'Permitir acesso aos serviços do Azure' para o servidor de banco de dados PostgreSQL está desabilitada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.8 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0

Garantir que o administrador do Azure Active Directory esteja configurado

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0

Verifique se o protetor de TDE do SQL Server está criptografado com a Chave Gerenciada pelo Cliente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.0
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.1

5 Registro em log e monitoramento

Verificar se existe uma 'Configuração de Diagnóstico'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0

Verificar se a Configuração de Diagnóstico captura as categorias apropriadas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Configurar as funcionalidades da Auditoria do Azure CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure Manual, Desabilitado 1.1.1
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Verificar se o contêiner que armazena os logs de atividade não está acessível publicamente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 3.1.0 – versão prévia
Habilitar a autorização dupla ou conjunta CMA_0226 – Habilitar a autorização dupla ou conjunta Manual, Desabilitado 1.1.0
Proteger informações de auditoria CMA_0401 – Proteger informações de auditoria Manual, Desabilitado 1.1.0

Garanta que a conta de armazenamento que tem o contêiner com logs de atividades seja criptografada com BYOK (Bring Your Own Key)

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Habilitar a autorização dupla ou conjunta CMA_0226 – Habilitar a autorização dupla ou conjunta Manual, Desabilitado 1.1.0
Manter a integridade do sistema de auditoria CMA_C1133 – Manter a integridade do sistema de auditoria Manual, Desabilitado 1.1.0
Proteger informações de auditoria CMA_0401 – Proteger informações de auditoria Manual, Desabilitado 1.1.0
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. AuditIfNotExists, desabilitado 1.0.0

Garantir que o log do Azure Key Vault esteja 'Habilitado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Os logs de recurso no Key Vault devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para criar atribuição de política

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações de política específicas Essa política audita Operações de política específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 3.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o Alerta do Log de Atividades existe para Excluir a Atribuição de Políticas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações de política específicas Essa política audita Operações de política específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 3.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para criar ou atualizar o Grupo de Segurança de Rede

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para excluir o grupo de segurança de rede

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para criar ou atualizar a regra do grupo de segurança de rede

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para excluir a regra do grupo de segurança de rede

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.6 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para criar ou atualizar a solução de segurança

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.7 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações de segurança específicas Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para excluir a solução de segurança

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.8 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações de segurança específicas Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se o alerta do log de atividades existe para criar ou atualizar ou excluir a regra de firewall do SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.9 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Verifique se os Logs de Diagnóstico estão habilitados para todos os serviços que são compatíveis com ele.

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. AuditIfNotExists, desabilitado 2.0.1
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Configurar as funcionalidades da Auditoria do Azure CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure Manual, Desabilitado 1.1.1
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Controlar e monitorar atividades de processamento de auditoria CMA_0289 – Controlar e monitorar atividades de processamento de auditoria Manual, Desabilitado 1.1.0
Os logs de recurso no Azure Data Lake Storage devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Azure Stream Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso em contas do Lote devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Data Lake Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub de Eventos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub IoT devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 3.1.0
Os logs de recurso no Key Vault devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.1.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Reter procedimentos e políticas de segurança CMA_0454 – Reter procedimentos e políticas de segurança Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0

6 Rede

Verificar se nenhum Banco de Dados SQL permite 0.0.0.0/0 (qualquer IP) de entrada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0

Verificar se o período de retenção do log de fluxo do grupo de segurança de rede é 'superior a 90 dias'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Reter procedimentos e políticas de segurança CMA_0454 – Reter procedimentos e políticas de segurança Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0

Garantir que o Observador de Rede esteja 'Habilitado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Verificar funções de segurança CMA_C1708 – Verificar funções de segurança Manual, Desabilitado 1.1.0

7 Máquinas virtuais

Verifique se as Máquinas Virtuais estão utilizando os Managed Disks

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar VMs que não usam discos gerenciados Essa política audita VMs que não usam discos gerenciados auditoria 1.0.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Verifique se os discos 'SO e Dados' estão criptografados com CMK

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0

Verifique se os 'Discos não anexados' estão criptografados com CMK

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0

Garantir que apenas as extensões aprovadas sejam instaladas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Somente as extensões aprovadas da VM devem ser instaladas Essa política rege as extensões da máquina virtual que não foram aprovadas. Audit, Deny, desabilitado 1.0.0

Garantir que os Patches de SO mais recentes para todas as máquinas virtuais sejam aplicados

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Garantir que a proteção de ponto de extremidade para todas as máquinas virtuais esteja instalada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.6 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Documentar operações de segurança CMA_0202 – Documentar operações de segurança Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0
Verificar integridade de software, firmware e informações CMA_0542 – Verificar integridade de software, firmware e informações Manual, Desabilitado 1.1.0

Verificar se os VHDs estão criptografados

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.7 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0

8 Outras considerações de segurança

Verifique se a data de validade está definida em todas as chaves

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia Manual, Desabilitado 1.1.0
Determinar os requisitos da declaração CMA_0136 – Determinar os requisitos da declaração Manual, Desabilitado 1.1.0
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0
As chaves do Key Vault devem ter uma data de validade As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. Audit, Deny, desabilitado 1.0.2
Gerenciar chaves de criptografia simétricas CMA_0367 – Gerenciar chaves de criptografia simétricas Manual, Desabilitado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0

Verifique se a data de validade está definida em todos os segredos

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia Manual, Desabilitado 1.1.0
Determinar os requisitos da declaração CMA_0136 – Determinar os requisitos da declaração Manual, Desabilitado 1.1.0
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0
Os segredos do Key Vault devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. Audit, Deny, desabilitado 1.0.2
Gerenciar chaves de criptografia simétricas CMA_0367 – Gerenciar chaves de criptografia simétricas Manual, Desabilitado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0

Verificar se os bloqueios de recursos estão definidos para recursos críticos do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Garantir que o cofre de chaves seja recuperável

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os cofres de chaves devem ter a proteção contra exclusão habilitadas A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. Audit, Deny, desabilitado 2.1.0
Manter a disponibilidade de informações CMA_C1644 – Manter a disponibilidade de informações Manual, Desabilitado 1.1.0

Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0
O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes Para fornecer filtragem granular das ações que os usuários podem executar, use o RBAC (controle de acesso baseado em função) para gerenciar permissões nos clusters do Serviço de Kubernetes e configurar políticas de autorização relevantes. Audit, desabilitado 1.0.4

9 Serviço de Aplicativo

Garantir que a autenticação do serviço de aplicativo esteja definida no Serviço de Aplicativo do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web. AuditIfNotExists, desabilitado 2.0.1
Autenticar-se no módulo de criptografia CMA_0021 – Autenticar-se no módulo de criptografia Manual, Desabilitado 1.1.0
Impor exclusividade do usuário CMA_0250 – Impor exclusividade do usuário Manual, Desabilitado 1.1.0
Os aplicativos de funções devem ter a autenticação habilitada A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de Funções. AuditIfNotExists, desabilitado 3.0.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0

Verifique se as implantações de FTP estão desabilitadas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.10 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Os aplicativos de funções devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0

Verificar se os Azure Key Vaults são usados para armazenar segredos

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.11 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia Manual, Desabilitado 1.1.0
Determinar os requisitos da declaração CMA_0136 – Determinar os requisitos da declaração Manual, Desabilitado 1.1.0
Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração CMA_C1199 – Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração Manual, Desabilitado 1.1.0
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0
Manter a disponibilidade de informações CMA_C1644 – Manter a disponibilidade de informações Manual, Desabilitado 1.1.0
Gerenciar chaves de criptografia simétricas CMA_0367 – Gerenciar chaves de criptografia simétricas Manual, Desabilitado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0

Garantir que o aplicativo Web redirecione todo o tráfego HTTP para HTTPS no Serviço de Aplicativo do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.2 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0

Garantir que o aplicativo Web esteja usando a última versão da criptografia TLS

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.3 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 2.1.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Os aplicativos de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 2.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0

Garantir que o aplicativo Web tenha a opção 'Certificados de Cliente (Certificados de cliente de entrada)' definida como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.4 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. Audit, desabilitado 3.1.0-preterido
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Autenticar-se no módulo de criptografia CMA_0021 – Autenticar-se no módulo de criptografia Manual, Desabilitado 1.1.0

Garantir que o Registro com o Azure Active Directory esteja habilitado no Serviço de Aplicativo

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.5 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Os aplicativos de funções devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0

Garantir que a 'versão do PHP' seja a última, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.6 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Garantir que a 'versão do Python' seja a última, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.7 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Garantir que a 'versão do Java' seja a última, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.8 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Garantir que a "Versão do HTTP" seja a última, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.9 Propriedade: compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Próximas etapas

Artigos adicionais sobre o Azure Policy: