Detalhes da iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark 2.0.0

O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no CIS Microsoft Azure Foundations Benchmark 2.0.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark 2.0.0. Para entender a Propriedade, confira Definição de política do Azure Policy e Responsabilidade compartilhada na nuvem.

Os mapeamentos a seguir referem-se aos controles do CIS Microsoft Azure Foundations Benchmark 2.0.0. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição da iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark v2.0.0.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

1,1

Verificar se os padrões de segurança estão habilitados no Azure Active Directory

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.1.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Autenticar-se no módulo de criptografia	CMA_0021 – Autenticar-se no módulo de criptografia	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Atender aos requisitos de qualidade do token	CMA_0487 – Atender aos requisitos de qualidade do token	Manual, Desabilitado	1.1.0

Verifique se 'Status de Autenticação Multifator' está 'Habilitado' para todos os Usuários Privilegiados

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.1.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0

Verifique se 'Status de Autenticação Multifator' está 'Habilitado' para todos os Usuários Não Privilegiados

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.1.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0

Verificar se a opção 'Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam está Desabilitada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.1.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Atender aos requisitos de qualidade do token	CMA_0487 – Atender aos requisitos de qualidade do token	Manual, Desabilitado	1.1.0

1

Lembre-se de 'Notificar todos os administradores quando outros administradores redefinirem as respectivas senhas?' está definida como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.10 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Implementar treinamento para proteção de autenticadores	CMA_0329 – Implementar treinamento para proteção de autenticadores	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Monitorar atribuição de função com privilégios	CMA_0378 – Monitorar atribuição de função com privilégios	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Usar o Privileged Identity Management	CMA_0533 – Usar o Privileged Identity Management	Manual, Desabilitado	1.1.0

Certifique-se que User consent for applications esteja definido como Do not allow user consent

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.11 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0

Verifique se 'Os usuários podem adicionar aplicativos de galeria aos Meus Aplicativos' está definido como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.13 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0

Verificar se a opção "Os usuários podem registrar aplicativos" está definida como "Não"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.14 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0

Verifique se 'Restrições de acesso de usuários convidados' está definido como 'O acesso de usuários convidados é restrito a propriedades e associações de seus próprios objeto do directory'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.15 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Verifique se 'Restrições de convite de convidado' está definido como "Somente usuários atribuídos a funções de administrador específicas podem convidar usuários convidados"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.16 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Verifique se 'Restringir o acesso ao portal de administração do Azure AD' está definido como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.17 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Verifique se 'Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso' está definido como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.18 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0

Verifique se 'Os usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell' está definido como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.19 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0

Verificar se a opção 'Os proprietários podem gerenciar solicitações de associação a um grupo no Painel de Acesso' está definida como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.20 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0

Verifique se 'Os usuários podem criar grupos do Microsoft 365 em portais do Azure, API ou PowerShell' está definido como 'Não'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.21 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0

Verifique se 'Exigir Autenticação Multifator para registrar ou ingressar em dispositivos com o Azure AD' está definido como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.22 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Atender aos requisitos de qualidade do token	CMA_0487 – Atender aos requisitos de qualidade do token	Manual, Desabilitado	1.1.0

Verifique se não existem funções de administrador de assinatura personalizadas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.23 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditoria o uso de funções personalizadas do RBAC	Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças	Audit, desabilitado	1.0.1
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0

Verifique se uma Função Personalizada está Atribuída com Permissões para Administrar Bloqueios de Recursos

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.24 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0

Certifique-se que os usuários convidados sejam examinados regularmente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Reatribuir ou remover privilégios de usuário conforme o necessário	CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0
Examinar os privilégios do usuário	CMA_C1039 – Examinar os privilégios do usuário	Manual, Desabilitado	1.1.0

Verificar se a opção 'Número de dias até que seja solicitada a reconfirmação das informações de autenticação dos usuários' não está definida como "0"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.8 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0

Verificar se a opção 'Notificar usuários sobre redefinições de senha?' está definida como 'Sim'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.9 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Implementar treinamento para proteção de autenticadores	CMA_0329 – Implementar treinamento para proteção de autenticadores	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0

10

Verifique se os Bloqueios de Recursos estão definidos para Recursos Críticos do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 10.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0

2.1

Verifique se o Microsoft Defender para servidores está definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desabilitado	1.0.3
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Verifique se o Microsoft Defender para Key Vault está definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.10 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para Key Vault deve estar habilitado	O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault.	AuditIfNotExists, desabilitado	1.0.3
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Certifique-se que o Microsoft Defender para DNS esteja definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.11 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
[Preterido]: o Azure Defender para DNS deverá ser habilitado	Essa definição de política não é mais a maneira recomendada de atingir a sua intenção, pois o pacote de DNS está sendo preterido. Em vez de continuar usando essa política, é recomendável que você atribua a esta política de substituição o ID de política 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Saiba mais sobre a substituição da definição de política em aka.ms/policydefdeprecation	AuditIfNotExists, desabilitado	1.1.0-preterido

Certifique-se que Microsoft Defender para Resource Manager esteja definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.12 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para Resource Manager deve ser habilitado	O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center.	AuditIfNotExists, desabilitado	1.0.0

Verifique se o status da Recomendação do Microsoft Defender para 'Aplicar atualizações do sistema' está 'Concluído'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.13 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes	Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Audit, Deny, desabilitado	3.7.0

Certifique-se que alguma das configurações de política padrão do CSA não esteja definida como 'Desabilitada'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.14 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar ações para os dispositivos sem conformidade	CMA_0062 – Configurar ações para os dispositivos sem conformidade	Manual, Desabilitado	1.1.0
Desenvolver e manter configurações de linha de base	CMA_0153 – Desenvolver e manter configurações de linha de base	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer um comitê de controle de configuração	CMA_0254 – Estabelecer um comitê de controle de configuração	Manual, Desabilitado	1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração	CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Implementar uma ferramenta de gerenciamento de configuração automatizada	CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada	Manual, Desabilitado	1.1.0

Verificar se o provisionamento automático do 'Agente do Log Analytics para VMs do Azure' está definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.15 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura	Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas.	AuditIfNotExists, desabilitado	1.0.1
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0

Verifique se o provisionamento automático dos 'componentes do Microsoft Defender para contêineres' está definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.17 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
O Microsoft Defender para Contêineres deve estar habilitado	O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens.	AuditIfNotExists, desabilitado	1.0.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Verifique se há 'Endereços de email adicionais' configurados com um Email de Contato de Segurança

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.19 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As assinaturas devem ter um endereço de email de contato para problemas de segurança	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1

Certifique-se que o Microsoft Defender para Serviços de Aplicativos esteja definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para o Serviço de Aplicativo deve estar habilitado	O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web.	AuditIfNotExists, desabilitado	1.0.3
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Verifique se 'Notificar sobre alertas com a seguinte gravidade' está definido como 'Alto'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.20 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
A notificação por email para alertas de severidade alta deve ser habilitada	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança.	AuditIfNotExists, desabilitado	1.1.0

Certifique-se que a integração do Microsoft Defender para Aplicativos de Nuvem com o Microsoft Defender para Nuvem esteja selecionada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.21 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Verifique se a integração do Microsoft Defender for Endpoint com o Microsoft Defender para Nuvem está selecionada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.22 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Certifique-se que o Microsoft Defender para Bancos esteja definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado	O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desabilitado	1.0.2
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado	O Azure Defender para bancos de dados relacionais de código aberto detecta atividades anômalas, indicando tentativas incomuns e possivelmente prejudiciais de acesso ou exploração de bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center	AuditIfNotExists, desabilitado	1.0.0
O Azure Defender para servidores SQL em computadores deve estar habilitado	O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desabilitado	1.0.2
O Microsoft Defender para Azure Cosmos DB deve estar habilitado	O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados.	AuditIfNotExists, desabilitado	1.0.0

Verifique se o Microsoft Defender para Bancos de Dados SQL do Azure está definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado	O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desabilitado	1.0.2
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Verifique se o Microsoft Defender para servidores SQL em computadores está definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para servidores SQL em computadores deve estar habilitado	O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desabilitado	1.0.2
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Certifique-se que Microsoft Defender para bancos de dados relacionais de código aberto esteja definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado	O Azure Defender para bancos de dados relacionais de código aberto detecta atividades anômalas, indicando tentativas incomuns e possivelmente prejudiciais de acesso ou exploração de bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center	AuditIfNotExists, desabilitado	1.0.0

Verifique se o Microsoft Defender para Armazenamento está definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.7 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
O Microsoft Defender para Armazenamento deve estar habilitado	O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos.	AuditIfNotExists, desabilitado	1.0.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Certifique-se que o Microsoft Defender para contêineres esteja definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.8 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
O Microsoft Defender para Contêineres deve estar habilitado	O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens.	AuditIfNotExists, desabilitado	1.0.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Certifique-se que Microsoft Defender para Azure Cosmos DB esteja definido como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1.9 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Microsoft Defender para Azure Cosmos DB deve estar habilitado	O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados.	AuditIfNotExists, desabilitado	1.0.0

3

Garantir que "Transferência segura necessária" esteja definida como "Habilitado"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
A transferência segura para contas de armazenamento deve ser habilitada	Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão	Audit, Deny, desabilitado	2.0.0

Garantir que os pontos de extremidade privados sejam usados para acessar as contas de armazenamento

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.10 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As contas de armazenamento devem usar um link privado	O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, desabilitado	2.0.0

Verifique se o Armazenamento de Dados Críticos está Criptografado com Chaves Gerenciadas pelo Cliente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.12 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia	Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente.	Audit, desabilitado	1.0.3

Verifique se o log de Armazenamento está habilitado para o Serviço Blob para solicitações de 'Leitura', 'Gravação' e 'Exclusão'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.13 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Configurar as funcionalidades da Auditoria do Azure	CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure	Manual, Desabilitado	1.1.1
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Verifique se o Log de Armazenamento do Serviço Tabela está habilitado para solicitações de 'Leitura', 'Gravação' e 'Exclusão'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.14 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Configurar as funcionalidades da Auditoria do Azure	CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure	Manual, Desabilitado	1.1.1
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Garantir que a "Versão mínima do TLS" para contas de armazenamento esteja definida como "Versão 1.2"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.15 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Contas de armazenamento devem ter a versão mínima do TLS especificada	Configure uma versão mínima do TLS para estabelecer uma comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a mais recente lançada, que é o TLS 1.2.	Audit, Deny, desabilitado	1.0.0

Garantir que a opção “Habilitar Criptografia de Infraestrutura” para cada conta de armazenamento no Armazenamento do Azure esteja definida como “habilitado”

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As contas de armazenamento devem ter criptografia de infraestrutura	Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes.	Audit, Deny, desabilitado	1.0.0

Verifique se as Chaves de Acesso da Conta de Armazenamento são Regeneradas Periodicamente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0

Verifique se o Log de Armazenamento do Serviço de Fila está habilitado para solicitações de 'Leitura', 'Gravação' e 'Exclusão'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Configurar as funcionalidades da Auditoria do Azure	CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure	Manual, Desabilitado	1.1.1
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Verifique se os Tokens de Assinatura de Acesso Compartilhado expiram em até uma hora

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desabilitar os autenticadores após o encerramento	CMA_0169 – Desabilitar os autenticadores após o encerramento	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Encerrar a sessão do usuário automaticamente	CMA_C1054 – Encerrar a sessão do usuário automaticamente	Manual, Desabilitado	1.1.0

Garantir que o “Nível de acesso público” esteja desabilitado para contas de armazenamento com contêineres de blob

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.7 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido	O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	3.1.0 – versão prévia
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Verifique se a Regra de Acesso de Rede Padrão para Contas de Armazenamento está definida como Negar

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.8 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As contas de armazenamento devem restringir o acesso da rede	O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet	Audit, Deny, desabilitado	1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual	Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento.	Audit, Deny, desabilitado	1.0.1

Garantir que a opção “Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento” esteja habilitada em Acesso à Conta de Armazenamento

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.9 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft	Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento.	Audit, Deny, desabilitado	1.0.0

4.1

Garantir que "Auditoria" esteja definida como "Ativado"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
A auditoria no SQL Server deve ser habilitada	A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria.	AuditIfNotExists, desabilitado	2.0.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Certifique-se que nenhum Banco de Dados do SQL do Azure permita a entrada 0.0.0.0/0 (ANY IP)

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado	Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP.	Audit, Deny, desabilitado	1.1.0

Certifique-se que o protetor Transparent Data Encryption (TDE) do SQL Server esteja criptografado com a chave gerenciada pelo cliente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos	Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado.	Audit, Deny, desabilitado	2.0.0
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos	Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado.	Audit, Deny, desabilitado	2.0.1

Certifique-se que o administrador do Azure Active Directory esteja configurado para SQL Servers

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL	Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft	AuditIfNotExists, desabilitado	1.0.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0

Garantir que a 'Criptografia de Dados' esteja definida como 'Ativado' em um Banco de Dados SQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada	A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade	AuditIfNotExists, desabilitado	2.0.0

Garantir que a retenção de "Auditoria" seja "maior que 90 dias"

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Controlar e monitorar atividades de processamento de auditoria	CMA_0289 – Controlar e monitorar atividades de processamento de auditoria	Manual, Desabilitado	1.1.0
Reter procedimentos e políticas de segurança	CMA_0454 – Reter procedimentos e políticas de segurança	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais	Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios.	AuditIfNotExists, desabilitado	3.0.0

4.2

Certifique-se que o Microsoft Defender para servidores SQL esteja definido como 'Ativado' para servidores SQL críticos

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos	Auditar servidores SQL sem Segurança de Dados Avançada	AuditIfNotExists, desabilitado	2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas	Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada.	AuditIfNotExists, desabilitado	1.0.2
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0

Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL	Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL	Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	3.0.0

Certifique-se de que a configuração de Avaliação de Vulnerabilidade (VA) 'Verificações recorrentes periódicas' esteja definida como 'ativada' para cada SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL	Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	1.0.1

Certifique-se que a configuração de Avaliação de Vulnerabilidade (VA) 'Enviar relatórios de verificação para' esteja configurada para um SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Correlacionar as informações da verificação de vulnerabilidade	CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade	Manual, Desabilitado	1.1.1
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL	Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	3.0.0

Certifique-se que a configuração de Avaliação de Vulnerabilidade 'Também enviar notificações por email para administradores e proprietários de assinatura' esteja definida para SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Correlacionar as informações da verificação de vulnerabilidade	CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade	Manual, Desabilitado	1.1.1
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas	Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	4.1.0
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL	Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	3.0.0

4.3

Garantir que a opção 'Impor conexão SSL' esteja definida para 'HABILITADO' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

Verifique se o parâmetro de servidor 'log_checkpoints' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Os pontos de verificação de log devem ser habilitados para os servidores de banco de dados PostgreSQL	Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_checkpoints habilitada.	AuditIfNotExists, desabilitado	1.0.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Garantir que o parâmetro de servidor 'log_connections' seja definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
As conexões de log devem ser habilitadas para os servidores de banco de dados PostgreSQL	Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_connections habilitada.	AuditIfNotExists, desabilitado	1.0.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Garantir que o parâmetro de servidor 'log_disconnections' seja definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
As desconexões devem ser registradas em log para os servidores de banco de dados PostgreSQL.	Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem log_disconnections habilitada.	AuditIfNotExists, desabilitado	1.0.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Garantir que o parâmetro de servidor 'connection_throttling' seja definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
A limitação de conexão deve estar habilitada para os servidores de banco de dados PostgreSQL	Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a limitação de conexão habilitada. Essa configuração permite a otimização temporária da conexão por IP para muitas falhas inválidas de login de senha.	AuditIfNotExists, desabilitado	1.0.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Verificar se o Parâmetro de Servidor 'log_retention_days' é maior que três dias para o servidor de banco de dados PostgreSQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Controlar e monitorar atividades de processamento de auditoria	CMA_0289 – Controlar e monitorar atividades de processamento de auditoria	Manual, Desabilitado	1.1.0
Reter procedimentos e políticas de segurança	CMA_0454 – Reter procedimentos e políticas de segurança	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0

Verificar se a opção 'Permitir acesso aos serviços do Azure' para o servidor de banco de dados PostgreSQL está desabilitada

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.7 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
O acesso à rede pública deve ser desabilitado para servidores flexíveis do PostgreSQL	Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados do Azure para servidores flexíveis do PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual.	Audit, Deny, desabilitado	3.0.1
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL	Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual.	Audit, Deny, desabilitado	2.0.1

Verifique se 'Criptografia dupla de infraestrutura' para o Servidor de Banco de Dados PostgreSQL está 'Habilitada'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3.8 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para PostgreSQL	Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para PostgreSQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2	Audit, Deny, desabilitado	1.0.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0

4.4

Verifique se 'Aplicar conexão SSL' está definido como 'Habilitado' para o Servidor de Banco de Dados MySQL Standard

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.4.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

Verifique se 'Versão TLS' está definida como 'TLSV1.2' para o Servidor de Banco de Dados flexível MySQL

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.4.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

4.5

Verifique se "Redes e Firewalls" está limitado a Usar Redes Selecionadas em vez de Todas as Redes

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.5.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As contas do Azure Cosmos DB devem ter regras de firewall	As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade.	Audit, Deny, desabilitado	2.0.0

Verifique se os Pontos de extremidade privados são usados Sempre que possível

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.5.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As contas do CosmosDB devem usar um link privado	O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, desabilitado	1.0.0

Use a autenticação de cliente do Azure Active Directory (AAD) e o RBAC do Azure sempre que possível.

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.5.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As contas de banco de dados do Cosmos DB devem ter os métodos de autenticação local desabilitados	Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Audit, Deny, desabilitado	1.1.0

5.1

Certifique-se que existe uma 'Configuração de Diagnóstico'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0

Verificar se a Configuração de Diagnóstico captura as categorias apropriadas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Um alerta do log de atividades deve existir para Operações de política específicas	Essa política audita Operações de política específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	3.0.0
Um alerta do log de atividades deve existir para Operações de segurança específicas	Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Configurar as funcionalidades da Auditoria do Azure	CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure	Manual, Desabilitado	1.1.1
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Garantir que o contêiner de armazenamento que armazena os logs de atividades não seja acessível publicamente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido	O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	3.1.0 – versão prévia
Habilitar a autorização dupla ou conjunta	CMA_0226 – Habilitar a autorização dupla ou conjunta	Manual, Desabilitado	1.1.0
Proteger informações de auditoria	CMA_0401 – Proteger informações de auditoria	Manual, Desabilitado	1.1.0

Garantir que a conta de armazenamento que tem o contêiner com os logs de atividades seja criptografada com a Chave Gerenciada pelo Cliente

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Habilitar a autorização dupla ou conjunta	CMA_0226 – Habilitar a autorização dupla ou conjunta	Manual, Desabilitado	1.1.0
Manter a integridade do sistema de auditoria	CMA_C1133 – Manter a integridade do sistema de auditoria	Manual, Desabilitado	1.1.0
Proteger informações de auditoria	CMA_0401 – Proteger informações de auditoria	Manual, Desabilitado	1.1.0
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK	Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok.	AuditIfNotExists, desabilitado	1.0.0

Certifique-se de que o registro em log para o Azure Key Vault esteja 'Habilitado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Os logs de recurso no Key Vault devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

Verifique se os logs de Fluxo do Grupo de Segurança de Rede são capturados e enviados para o Log Analytics

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Todos os recursos de log de fluxo devem estar no estado habilitado	Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais.	Audit, desabilitado	1.0.1
Configuração de logs de fluxo de auditoria para cada rede virtual	Uma auditoria de rede virtual para verificar se os logs de fluxo foram configurados. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio da rede virtual. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais.	Audit, desabilitado	1.0.1
Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede	Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais.	Audit, desabilitado	1.1.0

5.2

Verifique se o alerta do log de atividades existe para criar atribuição de política

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações de política específicas	Essa política audita Operações de política específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	3.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

Verifique se o Alerta do Log de Atividades existe para Excluir a Atribuição de Políticas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações de política específicas	Essa política audita Operações de política específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	3.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

Verifique se o alerta do log de atividades existe para criar ou atualizar o Grupo de Segurança de Rede

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

Verifique se o alerta do log de atividades existe para excluir o grupo de segurança de rede

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

Verifique se o alerta do log de atividades existe para criar ou atualizar a solução de segurança

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

Verifique se o alerta do log de atividades existe para excluir a solução de segurança

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

Certifique-se que existe um Alerta do Log de Atividades para Criar ou Atualizar a Regra de Firewall do SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.7 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

Certifique-se de que existe um Alerta do Log de Atividades para Excluir a Regra de Firewall do SQL Server

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.8 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0

5

Garantir que o log de recursos do Azure Monitor esteja habilitado para todos os serviços que dão suporte a ele

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados	Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida.	AuditIfNotExists, desabilitado	2.0.1
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Configurar as funcionalidades da Auditoria do Azure	CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure	Manual, Desabilitado	1.1.1
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Controlar e monitorar atividades de processamento de auditoria	CMA_0289 – Controlar e monitorar atividades de processamento de auditoria	Manual, Desabilitado	1.1.0
Os logs de recurso no Azure Data Lake Storage devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso no Azure Stream Analytics devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso em contas do Lote devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso no Data Lake Analytics devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso no Hub de Eventos devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso no Hub IoT devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	3.1.0
Os logs de recurso no Key Vault devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.1.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados	Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desabilitado	5.0.0
Reter procedimentos e políticas de segurança	CMA_0454 – Reter procedimentos e políticas de segurança	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0

6

Verifique se o acesso RDP da Internet é avaliado e restrito

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Portas de gerenciamento devem ser fechadas nas máquinas virtuais	As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desabilitado	3.0.0

Verifique se o acesso SSH da Internet é avaliado e restrito

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Portas de gerenciamento devem ser fechadas nas máquinas virtuais	As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desabilitado	3.0.0

Verificar se o período de retenção do log de fluxo do grupo de segurança de rede é 'superior a 90 dias'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Reter procedimentos e políticas de segurança	CMA_0454 – Reter procedimentos e políticas de segurança	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0

Garantir que o Observador de Rede esteja 'Habilitado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Observador de Rede deve ser habilitado	O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica.	AuditIfNotExists, desabilitado	3.0.0
Verificar funções de segurança	CMA_C1708 – Verificar funções de segurança	Manual, Desabilitado	1.1.0

7

Verifique se as Máquinas Virtuais estão utilizando os Managed Disks

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Auditar VMs que não usam discos gerenciados	Essa política audita VMs que não usam discos gerenciados	auditoria	1.0.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Verifique se os discos de 'SO e dados' estão criptografados com CMK (Chave Gerenciada pelo Cliente)

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento	Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, desabilitado	2.0.3

Verifique se os "discos desanexado" estão criptografados com a Chave Gerenciada pelo Cliente (CMK)

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma	Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption.	Audit, Deny, desabilitado	1.0.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0

Verifique se Apenas as Extensões Aprovadas estão Instaladas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Somente as extensões aprovadas da VM devem ser instaladas	Essa política rege as extensões da máquina virtual que não foram aprovadas.	Audit, Deny, desabilitado	1.0.0

Verifique se o Endpoint Protection está instalado em todas as Máquinas Virtuais

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
O Endpoint Protection deve ser instalado nos computadores	Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte.	AuditIfNotExists, desabilitado	1.0.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0
Verificar integridade de software, firmware e informações	CMA_0542 – Verificar integridade de software, firmware e informações	Manual, Desabilitado	1.1.0

[Herdado] Certifique-se que os VHDs estejam criptografados

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.7 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0

8

Verifique se a Data de Validade está definida para todas as Chaves nos Cofres de Chaves RBAC

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
As chaves do Key Vault devem ter uma data de validade	As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia.	Audit, Deny, desabilitado	1.0.2
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0

Verifique se a Data de Validade está definida para todas as Chaves em Cofres de Chaves não RBAC.

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
As chaves do Key Vault devem ter uma data de validade	As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia.	Audit, Deny, desabilitado	1.0.2
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0

Verifique se a Data de Validade está definida para todos os Segredos nos Cofres de Chaves RBAC

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
Os segredos do Key Vault devem ter uma data de validade	Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos.	Audit, Deny, desabilitado	1.0.2
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0

Verifique se a Data de Validade está definida para todos os Segredos em Cofres de Chaves não RBAC

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
Os segredos do Key Vault devem ter uma data de validade	Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos.	Audit, Deny, desabilitado	1.0.2
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0

Certifique-se de que o Key Vault seja recuperável

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os cofres de chaves devem ter a proteção contra exclusão habilitadas	A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão.	Audit, Deny, desabilitado	2.1.0
Os cofres de chaves devem ter a exclusão temporária habilitada	A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável.	Audit, Deny, desabilitado	3.0.0

Habilitar o Controle de Acesso Baseado em Função para o Azure Key Vault

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
O Azure Key Vault deve usar o modelo de permissão RBAC	Habilite o modelo de permissão RBAC em Key Vaults. Saiba mais em: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Audit, Deny, desabilitado	1.0.1

Certifique-se de que os Pontos de Extremidade Privados sejam Usados para o Azure Key Vault

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.7 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os Azure Key Vaults devem usar um link privado	O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Certifique-se de que a Rotação Automática de Chaves esteja Habilitada no Azure Key Vault para os Serviços com Suporte

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.8 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
As chaves devem ter uma política de rotação garantindo que sua rotação seja agendada dentro do número especificado de dias após a criação.	Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias necessários para a rotação da chave após a criação.	Audit, desabilitado	1.0.0

9

Verifique se a Autenticação do Serviço de Aplicativo está configurada para aplicativos no Serviço de Aplicativo do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.1 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada	A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web.	AuditIfNotExists, desabilitado	2.0.1
Autenticar-se no módulo de criptografia	CMA_0021 – Autenticar-se no módulo de criptografia	Manual, Desabilitado	1.1.0
Impor exclusividade do usuário	CMA_0250 – Impor exclusividade do usuário	Manual, Desabilitado	1.1.0
Os aplicativos de funções devem ter a autenticação habilitada	A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de Funções.	AuditIfNotExists, desabilitado	3.0.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	Manual, Desabilitado	1.1.0

Verifique se as implantações de FTP estão Desabilitadas

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.10 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Os aplicativos de funções devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

Certifique-se que os Azure Key Vaults sejam usados para armazenar segredos

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.11 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração	CMA_C1199 – Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração	Manual, Desabilitado	1.1.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
Manter a disponibilidade de informações	CMA_C1644 – Manter a disponibilidade de informações	Manual, Desabilitado	1.1.0
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0

Verifique se o aplicativo Web redireciona Todo o tráfego HTTP para HTTPS no Serviço de Aplicativo do Azure

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.2 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	4.0.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

Verifique se o aplicativo Web está usando a última versão da criptografia TLS

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.3 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS	Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente.	AuditIfNotExists, desabilitado	2.0.1
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Os aplicativos de funções devem usar a versão mais recente do TLS	Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão.	AuditIfNotExists, desabilitado	2.0.1
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0

Garantir que o aplicativo Web tenha a opção 'Certificados de Cliente (Certificados de cliente de entrada)' definida como 'Ativado'

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.4 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
[Preterido]: Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente.	Audit, desabilitado	3.1.0-preterido
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente.	Audit, desabilitado	3.1.0-preterido
Autenticar-se no módulo de criptografia	CMA_0021 – Autenticar-se no módulo de criptografia	Manual, Desabilitado	1.1.0

Garantir que o Registro com o Azure Active Directory esteja habilitado no Serviço de Aplicativo

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.5 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada	Usar uma identidade gerenciada para uma segurança de autenticação aprimorada	AuditIfNotExists, desabilitado	3.0.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Os aplicativos de funções devem usar a identidade gerenciada	Usar uma identidade gerenciada para uma segurança de autenticação aprimorada	AuditIfNotExists, desabilitado	3.0.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0

Verifique se a 'versão do PHP' é a Mais recente, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.6 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os slots de aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada	Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos.	AuditIfNotExists, desabilitado	1.0.0
Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma “versão do PHP” especificada	Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos.	AuditIfNotExists, desabilitado	3.2.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0

Verifique se a 'versão do Python' seja a Versão Estável mais recente, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.7 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os slots de aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma 'versão do Python' especificada	Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos.	AuditIfNotExists, desabilitado	1.0.0
Os aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma “versão do Python” especificada	Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos.	AuditIfNotExists, desabilitado	4.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0

Verifique se a 'versão do Java' é a Mais recente, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.8 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os slots de aplicativos de função que usam Java devem usar uma 'versão do Java' especificada	Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos.	AuditIfNotExists, desabilitado	1.0.0
Os aplicativos de função que usam Java devem usar uma “versão do Java” especificada	Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos.	AuditIfNotExists, desabilitado	3.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0

Verifique se a 'Versão do HTTP' é a Mais recente, se usada para executar o aplicativo Web

ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.9 Propriedade: compartilhada

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desabilitado	4.0.0
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desabilitado	4.0.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0

Próximas etapas

Artigos adicionais sobre o Azure Policy:

• Visão geral da Conformidade Regulatória.
• Consulte a estrutura de definição da iniciativa.
• Veja outros exemplos em Amostras do Azure Policy.
• Revisar Compreendendo os efeitos da política.
• Saiba como corrigir recursos fora de conformidade.