Detalhes da iniciativa interna de Conformidade Regulatória NIST SP 800-53 Rev. 5 (Azure Governamental)
O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no NIST SP 800-53 Rev. 5 (Azure Governamental). Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 5. Para entender a Propriedade, confira Definição de política do Azure Policy e Responsabilidade compartilhada na nuvem.
Os seguintes mapeamentos referem-se aos controles do NIST SP 800-53 Rev. 5. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de conformidade regulatória NIST SP 800-53 Rev. 5.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
Controle de acesso
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 AC-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1000 - Requisitos da política e procedimentos de controle de acesso | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1001 - Requisitos da política e procedimentos de controle de acesso | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Gerenciamento de Conta
ID: NIST SP 800-53 Rev. 5 AC-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Controle Gerenciado da Microsoft 1002 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1003 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1004 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1005 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1006 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1007 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1008 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1009 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1010 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1011 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1012 – Gerenciamento de conta | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1022 – Gerenciamento de conta | Término de credencial de conta compartilhada / de grupo | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Gerenciamento automatizado de conta do sistema
ID: NIST SP 800-53 Rev. 5 AC-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Controle Gerenciado da Microsoft 1013 – Gerenciamento de conta | Gerenciamento de conta de sistema automatizado | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Gerenciamento automatizado de conta temporária e de emergência
ID: NIST SP 800-53 Rev. 5 AC-2 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1014 – Gerenciamento de conta | Remoção de contas temporárias / de emergência | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Desabilitar Contas
ID: NIST SP 800-53 Rev. 5 AC-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1015 – Gerenciamento de conta | Desabilitar contas inativas | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Ações automatizadas de auditoria
ID: NIST SP 800-53 Rev. 5 AC-2 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1016 – Gerenciamento de conta | Ações de auditoria automatizadas | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Logoff por inatividade
ID: NIST SP 800-53 Rev. 5 AC-2 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1017 – Gerenciamento de conta | Logoff por inatividade | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Contas de usuário privilegiado
ID: NIST SP 800-53 Rev. 5 AC-2 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Controle Gerenciado da Microsoft 1018 – Gerenciamento de conta | Esquemas baseados em função | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1019 – Gerenciamento de conta | Esquemas baseados em função | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1020 – Gerenciamento de conta | Esquemas baseados em função | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Restrições no Uso de Contas Compartilhadas e de Grupo
ID: NIST SP 800-53 Rev. 5 AC-2 (9) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1021 – Gerenciamento de conta | Restrições de uso de contas compartilhadas/de grupo | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Condições de uso
ID: NIST SP 800-53 Rev. 5 AC-2 (11) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1023 – Gerenciamento de conta | Condições de uso | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Monitoramento de conta para uso atípico
ID: NIST SP 800-53 Rev. 5 AC-2 (12) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1024 – Gerenciamento de conta | Monitoramento de conta / Uso atípico | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1025 – Gerenciamento de conta | Monitoramento de conta / Uso atípico | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Desabilitar contas de indivíduos de alto risco
ID: NIST SP 800-53 Rev. 5 AC-2 (13) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1026 – Gerenciamento de conta | Desabilitar conta para indivíduos de alto risco | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Regras de acesso
ID: NIST SP 800-53 Rev. 5 AC-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditar os computadores Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas | AuditIfNotExists, desabilitado | 1.4.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1027 – Imposição de acesso | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
Controle de acesso baseado em função
ID: NIST SP 800-53 Rev. 5 AC-3 (7) Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.3 |
Política de fluxo de informações
ID: NIST SP 800-53 Rev. 5 AC-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.0 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.0.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Key Vault deve ter o firewall habilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, desabilitado | 1.4.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| Os Serviços Cognitivos devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1028 – Imposição de fluxo de informações | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Controle de fluxo de informação dinâmico
ID: NIST SP 800-53 Rev. 5 AC-4 (3) Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
Filtros de Políticas de Segurança e Privacidade
ID: NIST SP 800-53 Rev. 5 AC-4 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1029 – Imposição de fluxo de informações | Filtros de política de segurança | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Separação Física ou Lógica de Fluxos de Informações
ID: NIST SP 800-53 Rev. 5 AC-4 (21) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1030 – Imposição de fluxo de informações | Separação lógica / física de fluxos de informações | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Separação de funções
ID: NIST SP 800-53 Rev. 5 AC-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1031 – Separação de obrigações | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1032 – Separação de obrigações | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1033 – Separação de obrigações | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
Privilégio mínimo
ID: NIST SP 800-53 Rev. 5 AC-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Controle Gerenciado da Microsoft 1034 – Privilégios mínimos | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Autorizar o acesso a funções de segurança
ID: NIST SP 800-53 Rev. 5 AC-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1035 – Privilégios mínimos | Autorizar o acesso a funções de segurança | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Acesso sem privilégios para funções não relacionadas à segurança
ID: NIST SP 800-53 Rev. 5 AC-6 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1036 – Privilégios mínimos | Acesso sem privilégios para funções não relacionadas à segurança | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Acesso à rede para comandos com privilégios
ID: NIST SP 800-53 Rev. 5 AC-6 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1037 – Privilégios mínimos | Acesso à rede para comandos com privilégios | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Contas com privilégios
ID: NIST SP 800-53 Rev. 5 AC-6 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1038 – Privilégios mínimos | Contas com privilégio | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Análise dos privilégios do usuário
ID: NIST SP 800-53 Rev. 5 AC-6 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Controle Gerenciado da Microsoft 1039 – Privilégios mínimos | Revisão dos privilégios do usuário | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1040 – Privilégios mínimos | Revisão dos privilégios do usuário | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Níveis de privilégio para execução de código
ID: NIST SP 800-53 Rev. 5 AC-6 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1041 – Privilégios mínimos | Níveis de privilégio para execução de código | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Log do Uso de Funções com Privilégios
ID: NIST SP 800-53 Rev. 5 AC-6 (9) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1042 – Privilégios mínimos | Auditoria do uso de funções com privilégios | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Proibir usuários sem privilégios de executar funções com privilégios
ID: NIST SP 800-53 Rev. 5 AC-6 (10) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1043 – Privilégios mínimos | Proibir usuários sem privilégios de executar funções com privilégios | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Tentativas de logon malsucedidas
ID: NIST SP 800-53 Rev. 5 AC-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1044 – Tentativas de logon malsucedidas | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1045 – Tentativas de logon malsucedidas | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Limpar ou Apagar o Dispositivo Móvel
ID: NIST SP 800-53 Rev. 5 AC-7 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1046 – Tentativas de logon malsucedidas | Limpar/Apagar dispositivo móvel | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Notificação do uso do sistema
ID: NIST SP 800-53 Rev. 5 AC-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1047 – Notificação de uso do sistema | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1048 – Notificação de uso do sistema | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1049 – Notificação de uso do sistema | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Controle de sessões simultâneas
ID: NIST SP 800-53 Rev. 5 AC-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1050 – Controle de sessão simultânea | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Bloqueio de dispositivo
ID: NIST SP 800-53 Rev. 5 AC-11 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1051 – Bloqueio de sessão | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1052 – Bloqueio de sessão | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Telas com ocultação de padrões
ID: NIST SP 800-53 Rev. 5 AC-11 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1053 – Bloqueio de sessão | Exibições de ocultação de padrões | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Encerramento da sessão
ID: NIST SP 800-53 Rev. 5 AC-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1054 – Término de sessão | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Logouts iniciados pelo usuário
ID: NIST SP 800-53 Rev. 5 AC-12 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1055 – Término de sessão | Logoffs iniciados pelo usuário / Exibições de mensagem | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1056 – Término de sessão | Logoffs iniciados pelo usuário / Exibições de mensagem | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Ações permitidas sem identificação ou autenticação
ID: NIST SP 800-53 Rev. 5 AC-14 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1057 – Ações permitidas sem identificação nem autenticação | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1058 – Ações permitidas sem identificação nem autenticação | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Atributos de segurança e privacidade
ID: NIST SP 800-53 Rev. 5 AC-16 Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
Acesso remoto
ID: NIST SP 800-53 Rev. 5 AC-17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 1.4.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| Os Serviços Cognitivos devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| Controle Gerenciado da Microsoft 1059 – Acesso remoto | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1060 – Acesso remoto | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
Monitoramento e controle
ID: NIST SP 800-53 Rev. 5 AC-17 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 1.4.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| Os Serviços Cognitivos devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| Controle Gerenciado da Microsoft 1061 – Acesso remoto | Monitoramento / controle automatizado | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
Proteção da Confidencialidade e Integridade usando Criptografia
ID: NIST SP 800-53 Rev. 5 AC-17 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1062 – Acesso remoto | Proteção da confidencialidade / integridade usando criptografia | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Pontos de controle de acesso gerenciados
ID: NIST SP 800-53 Rev. 5 AC-17 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1063 – Acesso remoto | Pontos do Controle de Acesso Gerenciado | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Comandos e Acessos com Privilégios
ID: NIST SP 800-53 Rev. 5 AC-17 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1064 – Acesso remoto | Comandos / acesso privilegiado | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1065 – Acesso remoto | Comandos / acesso privilegiado | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Desconectar ou Desabilitar Acessos
ID: NIST SP 800-53 Rev. 5 AC-17 (9) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1066 – Acesso remoto | Desconectar / desabilitar o acesso | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Acesso sem fio
ID: NIST SP 800-53 Rev. 5 AC-18 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1067 - Restrições de Acesso sem fio | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1068 - Restrições de Acesso sem fio | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Autenticação e criptografia
ID: NIST SP 800-53 Rev. 5 AC-18 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1069 - Restrições de Acesso sem fio | Autenticação e Criptografia | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Desabilitar rede sem fio
ID: NIST SP 800-53 Rev. 5 AC-18 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1070 - Restrições de Acesso sem fio | Desabilitar rede sem fio | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Restringir configurações por usuários
ID: NIST SP 800-53 Rev. 5 AC-18 (4) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1071 – Restrições de Acesso sem fio | Restringir configurações por usuários | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Níveis de Potência de Transmissão e Antenas
ID: NIST SP 800-53 Rev. 5 AC-18 (5) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1072 – Restrições de Acesso sem fio | Níveis de potência de transmissão / antenas | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Controle de acesso para dispositivos móveis
ID: NIST SP 800-53 Rev. 5 AC-19 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1073 – Controle de Acesso para sistemas móveis e portáteis | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1074 – Controle de Acesso para sistemas móveis e portáteis | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Criptografia Completa baseada em Contêineres ou Dispositivos
ID: NIST SP 800-53 Rev. 5 AC-19 (5) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1075 – Controle de acesso para sistemas portáteis e móveis | Criptografia completa baseada em contêiner / dispositivo | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Uso de Sistemas Externos
ID: NIST SP 800-53 Rev. 5 AC-20 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1076 – Uso de sistemas de informações externos | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1077 – Uso de sistemas de informações externos | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Limites do uso autorizado
ID: NIST SP 800-53 Rev. 5 AC-20 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1078 – Uso de sistemas de informações externos | Limites do uso autorizado | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1079 – Uso de sistemas de informações externos | Limites do uso autorizado | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Dispositivos portáteis de armazenamento ??? Uso restrito
ID: NIST SP 800-53 Rev. 5 AC-20 (2) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1080 – Uso de sistemas de informações externos | Dispositivos de armazenamento portáteis | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Compartilhamento de informações
ID: NIST SP 800-53 Rev. 5 AC-21 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1081 – Compartilhamento de informações | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1082 – Compartilhamento de informações | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Conteúdo publicamente acessível
ID: NIST SP 800-53 Rev. 5 AC-22 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1083 – Conteúdo publicamente acessível | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1084 – Conteúdo publicamente acessível | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1085 – Conteúdo publicamente acessível | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1086 – Conteúdo publicamente acessível | A Microsoft implementa esse controle para Controle de Acesso | auditoria | 1.0.0 |
Reconhecimento e Treinamento
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 AT-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1087 – Política e procedimentos de conscientização e treinamento de segurança | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1088 – Política e procedimentos de conscientização e treinamento de segurança | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
Treinamento e Conscientização de Grau de Instrução
ID: NIST SP 800-53 Rev. 5 AT-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1089 – Conscientização de segurança | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1090 – Conscientização de segurança | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1091 – Conscientização de segurança | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
Ameaças internas
ID: NIST SP 800-53 Rev. 5 AT-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1092 – Conscientização de segurança | Ameaça interna | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
Treinamento Baseado em Funções
ID: NIST SP 800-53 Rev. 5 AT-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1093 – Treinamento de segurança baseada em funções | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1094 – Treinamento de segurança baseada em funções | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1095 – Treinamento de segurança baseada em funções | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
Exercícios práticos
ID: NIST SP 800-53 Rev. 5 AT-3 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1096 – Treinamento de segurança baseada em funções | Exercícios práticos | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
Registros de Treinamento
ID: NIST SP 800-53 Rev. 5 AT-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1098 – Registros de treinamento de segurança | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1099 – Registros de treinamento de segurança | A Microsoft implementa esse controle de Conscientização e Treinamento | auditoria | 1.0.0 |
Auditoria e Contabilidade
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 AU-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1100 – Política e procedimento de auditoria e responsabilidade | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1101 – Política e procedimento de auditoria e responsabilidade | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Log de eventos
ID: NIST SP 800-53 Rev. 5 AU-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1102 – Eventos de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1103 – Eventos de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1104 – Eventos de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1105 – Eventos de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1106 – Eventos de auditoria | Revisões e atualizações | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Conteúdo de registros de auditoria
ID: NIST SP 800-53 Rev. 5 AU-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1107 – Conteúdo dos registros de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Informações adicionais de auditoria
ID: NIST SP 800-53 Rev. 5 AU-3 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1108 – Conteúdo dos registros de auditoria | Informações de auditoria adicionais | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Capacidade de Armazenamento de Log de Auditoria
ID: NIST SP 800-53 Rev. 5 AU-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1110 – Capacidade do armazenamento de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Resposta a Falhas no Processo de Log de Auditoria
ID: NIST SP 800-53 Rev. 5 AU-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1111 – Resposta a falhas de processamento de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1112 – Resposta a falhas de processamento de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Aviso de capacidade de armazenamento
ID: NIST SP 800-53 Rev. 5 AU-5 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1113 – Resposta a falhas de processamento de auditoria | Capacidade de armazenamento de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Alertas em tempo real
ID: NIST SP 800-53 Rev. 5 AU-5 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1114 – Resposta a falhas de processamento de auditoria | Alertas em tempo real | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Revisão, análise e relatórios de registro de auditoria
ID: NIST SP 800-53 Rev. 5 AU-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1115 – Revisão, análise e relatórios de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1116 – Revisão, análise e relatórios de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1123 – Revisão, análise e relatórios de auditoria | Ajuste de nível de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
Integração de Processos Automatizados
ID: NIST SP 800-53 Rev. 5 AU-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1117 – Revisão, análise e relatórios de auditoria | Integração de processo | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Correlacionar Repositórios de Registros de Auditoria
ID: NIST SP 800-53 Rev. 5 AU-6 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1118 – Revisão, análise e relatórios de auditoria | Repositórios de auditoria correlacionados | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Revisão e análise centrais
ID: NIST SP 800-53 Rev. 5 AU-6 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
| O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure | Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança | AuditIfNotExists, desabilitado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1119 – Revisão, análise e relatórios de auditoria | Revisão e análise central | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Análise integrada de registros de auditoria
ID: NIST SP 800-53 Rev. 5 AU-6 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
| O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure | Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança | AuditIfNotExists, desabilitado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1120 – Revisão, análise e relatórios de auditoria | Funcionalidades de integração / verificação e monitoramento | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Correlação com monitoramento físico
ID: NIST SP 800-53 Rev. 5 AU-6 (6) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1121 – Revisão, análise e relatórios de auditoria | Correlação com o monitoramento físico | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Ações permitidas
ID: NIST SP 800-53 Rev. 5 AU-6 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1122 – Revisão, análise e relatórios de auditoria | Ações permitidas | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Redução de Registro de Auditoria e Geração de Relatórios
ID: NIST SP 800-53 Rev. 5 AU-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1124 – Redução de auditoria e geração de relatórios | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1125 – Redução de auditoria e geração de relatórios | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Processamento automático
ID: NIST SP 800-53 Rev. 5 AU-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1126 – Redução de auditoria e geração de relatórios | Processamento automático | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Carimbos de Data/Hora
ID: NIST SP 800-53 Rev. 5 AU-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1127 – Carimbos de data/hora | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1128 – Carimbos de data/hora | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Proteção de Informações de Auditoria
ID: NIST SP 800-53 Rev. 5 AU-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1131 – Proteção de informações de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Armazenar em Sistemas ou Componentes Físicos Separados
ID: NIST SP 800-53 Rev. 5 AU-9 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1132 – Proteção de informações de auditoria | Auditar backup em sistemas/componentes físicos separados | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 5 AU-9 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1133 – Proteção de informações de auditoria | Proteção de criptografia | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Acesso por subconjunto de usuários com privilégios
ID: NIST SP 800-53 Rev. 5 AU-9 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1134 – Proteção de informações de auditoria | Acesso por subconjunto de usuários com privilégios | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Não repúdio
ID: NIST SP 800-53 Rev. 5 AU-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1135 – Não recusa | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Retenção de registros de auditoria
ID: NIST SP 800-53 Rev. 5 AU-11 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1136 – Retenção de registro de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists, desabilitado | 3.0.0 |
Geração de registros de auditoria
ID: NIST SP 800-53 Rev. 5 AU-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
| O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure | Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança | AuditIfNotExists, desabilitado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1137 – Geração de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1138 – Geração de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1139 – Geração de auditoria | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Trilha de auditoria do sistema e com correlação temporal
ID: NIST SP 800-53 Rev. 5 AU-12 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
| O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure | Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança | AuditIfNotExists, desabilitado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1140 – Geração de auditoria | Trilha de auditoria em todo o sistema / correlacionada ao tempo | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Alterações feitas por indivíduos autorizados
ID: NIST SP 800-53 Rev. 5 AU-12 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1141 – Geração de auditoria | Alterações por pessoas autorizados | A Microsoft implementa esse controle de Auditoria e Responsabilidade | auditoria | 1.0.0 |
Avaliação, Autorização e Monitoramento
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 CA-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1142 – Política e procedimentos de avaliação de segurança, autorização, certificação | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1143 – Política e procedimentos de avaliação de segurança, autorização, certificação | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Avaliações de Controle
ID: NIST SP 800-53 Rev. 5 CA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1144 – Avaliações de segurança | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1145 – Avaliações de segurança | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1146 – Avaliações de segurança | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1147 – Avaliações de segurança | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Auditores independentes
ID: NIST SP 800-53 Rev. 5 CA-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1148 – Avaliações de segurança | Avaliadores independentes | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Avaliações especializadas
ID: NIST SP 800-53 Rev. 5 CA-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1149 – Avaliações de segurança | Avaliações especializadas | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Aproveitando Resultados de Organizações Externas
ID: NIST SP 800-53 Rev. 5 CA-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1150 – Avaliações de segurança | Organizações externas | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Troca de Informações
ID: NIST SP 800-53 Rev. 5 CA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1151 – Interconexões de sistema | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1152 – Interconexões de sistema | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1153 – Interconexões de sistema | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Plano de Ação e Etapas
ID: NIST SP 800-53 Rev. 5 CA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1156 – Plano de ação e marcos | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1157 – Plano de ação e marcos | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Autorização
ID: NIST SP 800-53 Rev. 5 CA-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1158 – Autorização de segurança | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1159 – Autorização de segurança | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1160 – Autorização de segurança | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Monitoramento Contínuo
ID: NIST SP 800-53 Rev. 5 CA-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1161 – Monitoramento contínuo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1162 – Monitoramento contínuo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1163 – Monitoramento contínuo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1164 – Monitoramento contínuo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1165 – Monitoramento contínuo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1166 – Monitoramento contínuo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1167 – Monitoramento contínuo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Avaliação independente
ID: NIST SP 800-53 Rev. 5 CA-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1168 – Monitoramento contínuo | Avaliação independente | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Análises de tendências
ID: NIST SP 800-53 Rev. 5 CA-7 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1169 – Monitoramento contínuo | Análises de tendências | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Teste de penetração
ID: NIST SP 800-53 Rev. 5 CA-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1170 – Testes de penetração | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Agente ou Equipe de Teste de Penetração Independente
ID: NIST SP 800-53 Rev. 5 CA-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1171 – Testes de penetração | Agente ou equipe de penetração independente | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Conexões de Sistema Interno
ID: NIST SP 800-53 Rev. 5 CA-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1172 – Conexões do sistema interno | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1173 – Conexões do sistema interno | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
Gerenciamento de configuração
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 CM-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1174 – Política e procedimentos de gerenciamento de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1175 – Política e procedimentos de gerenciamento de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Configuração de Linha de Base
ID: NIST SP 800-53 Rev. 5 CM-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1176 – Configuração de linha de base | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1177 – Configuração de linha de base | Revisões e atualizações | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1178 – Configuração de linha de base | Revisões e atualizações | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1179 – Configuração de linha de base | Revisões e atualizações | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Suporte de Automação para Precisão e Moeda
ID: NIST SP 800-53 Rev. 5 CM-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1180 – Configuração de linha de base | Suporte e automação para precisão/moeda | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Retenção de configurações anteriores
ID: NIST SP 800-53 Rev. 5 CM-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1181 – Configuração de linha de base | Retenção de configurações anteriores | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Configurar Sistemas e Componentes para Áreas de Alto Risco
ID: NIST SP 800-53 Rev. 5 CM-2 (7) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1182 – Configuração de linha de base | Configurar sistemas, componentes ou dispositivos para áreas de alto risco | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1183 – Configuração de linha de base | Configurar sistemas, componentes ou dispositivos para áreas de alto risco | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Controle de Alteração de Configuração
ID: NIST SP 800-53 Rev. 5 CM-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1184 – Controle de alterações de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1185 – Controle de alterações de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1186 – Controle de alterações de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1187 – Controle de alterações de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1188 – Controle de alterações de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1189 – Controle de alterações de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1190 – Controle de alterações de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Documentação, Notificação e Proibição de Alterações Automatizada
ID: NIST SP 800-53 Rev. 5 CM-3 (1) Propriedade: compartilhado
Teste, Validação e Documentação de Alterações
ID: NIST SP 800-53 Rev. 5 CM-3 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1197 – Controle de alterações de configuração | Testar/validar/documentar alterações | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Representantes de Segurança e Privacidade
ID: NIST SP 800-53 Rev. 5 CM-3 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1198 – Controle de alterações de configuração | Representante de segurança | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Gerenciamento de criptografia
ID: NIST SP 800-53 Rev. 5 CM-3 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1199 – Controle de alterações de configuração | Gerenciamento de criptografia | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Análises de Impacto
ID: NIST SP 800-53 Rev. 5 CM-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1200 – Análise do impacto de segurança | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Separar ambientes de teste
ID: NIST SP 800-53 Rev. 5 CM-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1201 – Análise do impacto de segurança | Ambientes de teste separados | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Restrições de Acesso para Alteração
ID: NIST SP 800-53 Rev. 5 CM-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1202 – Restrições de acesso para alteração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Registros de Auditoria e Imposição de Acesso Automatizados
ID: NIST SP 800-53 Rev. 5 CM-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1203 – Restrições de acesso para alteração | Imposição/auditoria de acesso automatizado | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Limitação de Privilégios para Produção e Operação
ID: NIST SP 800-53 Rev. 5 CM-5 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1206 – Restrições de acesso para alteração | Limitar privilégios de produção/operacionais | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1207 – Restrições de acesso para alteração | Limitar privilégios de produção/operacionais | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Definições de configuração
ID: NIST SP 800-53 Rev. 5 CM-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. | Audit, desabilitado | 3.1.0-preterido |
| Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.1.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
| Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
| Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
| Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.1.1 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
| Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
| Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
| Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.1.0 |
| Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
| Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 1.5.0 |
| Controle Gerenciado da Microsoft 1208 – Definições de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1209 – Definições de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1210 – Definições de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1211 – Definições de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 1.0.0 |
Gerenciamento, Aplicação e Verificação Automatizadas
ID: NIST SP 800-53 Rev. 5 CM-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1212 – Definições de configuração | Gerenciamento/aplicação/verificação central automatizada | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Responder a alterações não autorizadas
ID: NIST SP 800-53 Rev. 5 CM-6 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1213 – Definições de configuração | Resposta a alterações não autorizadas | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Funcionalidade Mínima
ID: NIST SP 800-53 Rev. 5 CM-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
| As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desabilitado | 3.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| Controle Gerenciado da Microsoft 1214 – Funcionalidade mínima | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1215 – Funcionalidade mínima | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Análise periódica
ID: NIST SP 800-53 Rev. 5 CM-7 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1216 – Funcionalidade mínima | Revisão periódica | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1217 – Funcionalidade mínima | Revisão periódica | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Impedir a execução de programas
ID: NIST SP 800-53 Rev. 5 CM-7 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
| As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1218 – Funcionalidade mínima | Impedir execução do programa | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Software autorizado??? Allow-by-exception
ID: NIST SP 800-53 Rev. 5 CM-7 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
| As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1219 – Funcionalidade mínima | Software autorizado/lista de permissões | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1220 – Funcionalidade mínima | Software autorizado/lista de permissões | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1221 – Funcionalidade mínima | Software autorizado/lista de permissões | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Estoque de Componentes do Sistema
ID: NIST SP 800-53 Rev. 5 CM-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1222 – Inventários de componentes do sistema de informações | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1223 – Inventários de componentes do sistema de informações | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1229 – Inventários de componentes do sistema de informações | Ausência de contabilidade duplicada de componentes | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Atualizações Durante a Instalação e Remoção
ID: NIST SP 800-53 Rev. 5 CM-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1224 – Inventários de componentes do sistema de informações | Atualizações durante instalações/remoções | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Manutenção automatizada
ID: NIST SP 800-53 Rev. 5 CM-8 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1225 – Inventários de componentes do sistema de informações | Manutenção automatizada | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Detecção automatizada de componente não autorizado
ID: NIST SP 800-53 Rev. 5 CM-8 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1226 – Inventários de componentes do sistema de informações | Detecção automatizada de componentes não autorizados | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1227 – Inventários de componentes do sistema de informações | Detecção automatizada de componentes não autorizados | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1241 – Software instalado pelo usuário | Alertas para instalações não autorizadas | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Informações de responsabilidade
ID: NIST SP 800-53 Rev. 5 CM-8 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1228 – Inventários de componentes do sistema de informações | Informações de responsabilidade | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Plano de Gerenciamento de Configuração
ID: NIST SP 800-53 Rev. 5 CM-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1230 – Plano de gerenciamento de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1231 – Plano de gerenciamento de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1232 – Plano de gerenciamento de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1233 – Plano de gerenciamento de configuração | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Restrições de Uso de Software
ID: NIST SP 800-53 Rev. 5 CM-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
| As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1234 – Restrições de uso de software | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1235 – Restrições de uso de software | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1236 – Restrições de uso de software | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Software de código aberto
ID: NIST SP 800-53 Rev. 5 CM-10 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1237 – Restrições de uso de software | Software livre | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Software Instalado pelo Usuário
ID: NIST SP 800-53 Rev. 5 CM-11 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
| As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1238 – Software instalado pelo usuário | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1239 – Software instalado pelo usuário | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1240 – Software instalado pelo usuário | A Microsoft implementa esse controle de Gerenciamento de Configuração | auditoria | 1.0.0 |
Planejamento de Contingência
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 CP-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1242 – Política e procedimentos de planejamento de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1243 – Política e procedimentos de planejamento de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Plano de contingência
ID: NIST SP 800-53 Rev. 5 CP-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1244 – Plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1245 – Plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1246 – Plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1247 – Plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1248 – Plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1249 – Plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1250 – Plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Coordenar com planos relacionados
ID: NIST SP 800-53 Rev. 5 CP-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1251 – Plano de contingência | Coordenar com planos relacionados | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Planejamento da capacidade
ID: NIST SP 800-53 Rev. 5 CP-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1252 – Plano de contingência | Planejamento da capacidade | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Retomar Funções Comerciais e Missão
ID: NIST SP 800-53 Rev. 5 CP-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1253 – Plano de contingência | Retomar as missões/funções de negócios essenciais | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1254 – Plano de contingência | Retomar todas as missões/funções de negócios | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Continuar Funções Comerciais e Missão
ID: NIST SP 800-53 Rev. 5 CP-2 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1255 – Plano de contingência | Continuar missões/funções de negócios essenciais | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Identificação de ativos essenciais
ID: NIST SP 800-53 Rev. 5 CP-2 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1256 – Plano de contingência | Identificar ativos críticos | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Treinamento de contingência
ID: NIST SP 800-53 Rev. 5 CP-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1257 – Treinamento de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1258 – Treinamento de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1259 – Treinamento de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Eventos simulados
ID: NIST SP 800-53 Rev. 5 CP-3 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1260 – Treinamento de contingência | Eventos simulados | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Teste do plano de contingência
ID: NIST SP 800-53 Rev. 5 CP-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1261 – Teste do plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1262 – Teste do plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1263 – Teste do plano de contingência | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Coordenar com planos relacionados
ID: NIST SP 800-53 Rev. 5 CP-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1264 – Teste do plano de contingência | Coordenar com planos relacionados | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Site de processamento alternativo
ID: NIST SP 800-53 Rev. 5 CP-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1265 – Teste do plano de contingência | Site de processamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1266 – Teste do plano de contingência | Site de processamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Site de armazenamento alternativo
ID: NIST SP 800-53 Rev. 5 CP-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento | Usar a redundância geográfica para criar aplicativos altamente disponíveis | Audit, desabilitado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Controle Gerenciado da Microsoft 1267 – Site de processamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1268 – Site de processamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Separação do site primário
ID: NIST SP 800-53 Rev. 5 CP-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento | Usar a redundância geográfica para criar aplicativos altamente disponíveis | Audit, desabilitado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Controle Gerenciado da Microsoft 1269 – Site de processamento alternativo | Separação do site primário | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Objetivos de Ponto de Recuperação e Tempo de Recuperação
ID: NIST SP 800-53 Rev. 5 CP-6 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1270 – Site de processamento alternativo | Objetivos do tempo/ponto de recuperação | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Acessibilidade
ID: NIST SP 800-53 Rev. 5 CP-6 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1271 – Site de processamento alternativo | Acessibilidade | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Site de processamento alternativo
ID: NIST SP 800-53 Rev. 5 CP-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Controle Gerenciado da Microsoft 1272 – Site de processamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1273 – Site de processamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1274 – Site de processamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Separação do site principal
ID: NIST SP 800-53 Rev. 5 CP-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1275 – Site de processamento alternativo | Separação do site primário | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Acessibilidade
ID: NIST SP 800-53 Rev. 5 CP-7 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1276 – Site de processamento alternativo | Acessibilidade | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Prioridade de serviço
ID: NIST SP 800-53 Rev. 5 CP-7 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1277 – Site de processamento alternativo | Prioridade de serviço | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Preparação para uso
ID: NIST SP 800-53 Rev. 5 CP-7 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1278 – Site de processamento alternativo | Preparação para uso | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Serviços de telecomunicações
ID: NIST SP 800-53 Rev. 5 CP-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1279 – Serviços de telecomunicações | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Prioridade de provisionamentos de serviço
ID: NIST SP 800-53 Rev. 5 CP-8 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1280 – Serviços de telecomunicações | Provisões de prioridade de serviço | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1281 – Serviços de telecomunicações | Provisões de prioridade de serviço | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Pontos de falha únicos
ID: NIST SP 800-53 Rev. 5 CP-8 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1282 – Serviços de telecomunicações | Pontos únicos de falha | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Separação de Provedores Principais e Alternativos
ID: NIST SP 800-53 Rev. 5 CP-8 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1283 – Serviços de telecomunicações | Separação de provedores primários/alternativos | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Plano de contingência de provedor
ID: NIST SP 800-53 Rev. 5 CP-8 (4) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1284 – Serviços de telecomunicações | Plano de contingência do provedor | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1285 – Serviços de telecomunicações | Plano de contingência do provedor | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1286 – Serviços de telecomunicações | Plano de contingência do provedor | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Backup do Sistema
ID: NIST SP 800-53 Rev. 5 CP-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| Os cofres de chaves devem ter a proteção contra exclusão habilitadas | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1287 – Backup do sistema de informações | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1288 – Backup do sistema de informações | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1289 – Backup do sistema de informações | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1290 – Backup do sistema de informações | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Teste de Confiabilidade e Integridade
ID: NIST SP 800-53 Rev. 5 CP-9 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1291 – Backup do sistema de informações | Testes de confiabilidade/integridade | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Testar restaurações usando amostragens
ID: NIST SP 800-53 Rev. 5 CP-9 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1292 – Backup do sistema de informações | Testar restauração usando amostragem | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Armazenamento separado para informações críticas
ID: NIST SP 800-53 Rev. 5 CP-9 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1293 – Backup do sistema de informações | Armazenamento separado para informações críticas | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Transferir para site de armazenamento alternativo
ID: NIST SP 800-53 Rev. 5 CP-9 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1294 – Backup do sistema de informações | Transferir para site de armazenamento alternativo | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Recuperação e Reconstituição do Sistema
ID: NIST SP 800-53 Rev. 5 CP-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1295 – Recuperação e reconstituição do sistema de informações | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Recuperação de transação
ID: NIST SP 800-53 Rev. 5 CP-10 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1296 – Recuperação e reconstituição do sistema de informações | Recuperação de transação | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Restaurar em um período de tempo
ID: NIST SP 800-53 Rev. 5 CP-10 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1297 – Recuperação e reconstituição do sistema de informações | Restaurar dentro do período | A Microsoft implementa esse controle de Planejamento de Contingência | auditoria | 1.0.0 |
Identificação e Autenticação
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 IA-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1298 – Política e procedimento de identificação e autenticação | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1299 – Política e procedimento de identificação e autenticação | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Identificação e autenticação (usuários organizacionais)
ID: NIST SP 800-53 Rev. 5 IA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1300 – Identificação e autenticação de usuários | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Autenticação multifator para contas privilegiadas
ID: NIST SP 800-53 Rev. 5 IA-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Controle Gerenciado da Microsoft 1301 – Identificação e autenticação de usuários | Acesso de rede a contas privilegiadas | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1303 – Identificação e autenticação de usuários | Acesso local a contas privilegiadas | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação multifator para contas não privilegiadas
ID: NIST SP 800-53 Rev. 5 IA-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Controle Gerenciado da Microsoft 1302 – Identificação e autenticação de usuários | Acesso de rede a contas sem privilégios | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1304 – Identificação e autenticação de usuários | Acesso local a contas sem privilégios | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação Individual com Autenticação de Grupo
ID: NIST SP 800-53 Rev. 5 IA-2 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 – Identificação e autenticação de usuários | Autenticação de grupo | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Acesso às contas ??? Resistente à reprodução
ID: NIST SP 800-53 Rev. 5 IA-2 (8) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1306 – Identificação e autenticação de usuários | Acesso de rede a contas privilegiadas - Reprodução... | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1307 – Identificação e autenticação de usuários | Acesso de rede a contas sem privilégios - Reprodução... | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Aceitação de credenciais PIV
ID: NIST SP 800-53 Rev. 5 IA-2 (12) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 – Identificação e autenticação de usuários | Aceitação de credenciais PIV | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Identificação e Autenticação de Dispositivo
ID: NIST SP 800-53 Rev. 5 IA-3 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1310 – Identificação e autenticação do dispositivo | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Gerenciamento de Identificador
ID: NIST SP 800-53 Rev. 5 IA-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1311 – Gerenciamento de identificador | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1312 – Gerenciamento de identificador | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1313 – Gerenciamento de identificador | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1314 – Gerenciamento de identificador | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1315 – Gerenciamento de identificador | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Identificar status do usuário
ID: NIST SP 800-53 Rev. 5 IA-4 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1316 – Gerenciamento de identificador | Identificar o status do usuário | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Gerenciamento de autenticador
ID: NIST SP 800-53 Rev. 5 IA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 1.4.0 |
| Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível | AuditIfNotExists, desabilitado | 1.0.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Controle Gerenciado da Microsoft 1317 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1318 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1319 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1320 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1321 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1322 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1323 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1324 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1325 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1326 – Gerenciamento do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação baseada em senha
ID: NIST SP 800-53 Rev. 5 IA-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 1.3.0 |
| Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 1.4.0 |
| Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desabilitado | 1.1.0 |
| Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias | AuditIfNotExists, desabilitado | 1.1.0 |
| Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia | AuditIfNotExists, desabilitado | 1.1.0 |
| Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desabilitado | 1.0.0 |
| Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desabilitado | 1.1.0 |
| Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível | AuditIfNotExists, desabilitado | 1.0.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Controle Gerenciado da Microsoft 1327 – Gerenciamento do Authenticator | Autenticação baseada em senha | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1328 – Gerenciamento do Authenticator | Autenticação baseada em senha | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1329 – Gerenciamento do Authenticator | Autenticação baseada em senha | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1330 – Gerenciamento do Authenticator | Autenticação baseada em senha | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1331 – Gerenciamento do Authenticator | Autenticação baseada em senha | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1332 – Gerenciamento do Authenticator | Autenticação baseada em senha | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1338 – Gerenciamento do Authenticator | Suporte automatizado para determinação da força de senha | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação baseada em chave pública
ID: NIST SP 800-53 Rev. 5 IA-5 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1333 – Gerenciamento do Authenticator | Autenticação baseada em PKI | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1334 – Gerenciamento do Authenticator | Autenticação baseada em PKI | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1335 – Gerenciamento do Authenticator | Autenticação baseada em PKI | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1336 – Gerenciamento do Authenticator | Autenticação baseada em PKI | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Proteção de autenticadores
ID: NIST SP 800-53 Rev. 5 IA-5 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1339 – Gerenciamento do Authenticator | Proteção de autenticadores | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Nenhum autenticador estático não criptografado inserido
ID: NIST SP 800-53 Rev. 5 IA-5 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1340 – Gerenciamento do Authenticator | Nenhum autenticador estático não criptografado inserido | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Várias Contas do Sistema
ID: NIST SP 800-53 Rev. 5 IA-5 (8) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1341 – Gerenciamento do Authenticator | Várias contas de sistema de informações | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Expiração dos autenticadores em cache
ID: NIST SP 800-53 Rev. 5 IA-5 (13) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1343 – Gerenciamento do Authenticator | Término de autenticadores em cache | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Comentários de Autenticação
ID: NIST SP 800-53 Rev. 5 IA-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1344 – Comentários do Authenticator | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação de Módulo Criptográfico
ID: NIST SP 800-53 Rev. 5 IA-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1345 – Autenticação de módulo criptográfico | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Identificação e autenticação (usuários não organizacionais)
ID: NIST SP 800-53 Rev. 5 IA-8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1346 – Identificação e autenticação (usuários não organizacionais) | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Aceitação de credenciais PIV de outras agências
ID: NIST SP 800-53 Rev. 5 IA-8 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1347 – Identificação e autenticação (usuários de fora da organização) | Aceitação de credenciais PIV... | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Aceitação de Autenticadores Externos
ID: NIST SP 800-53 Rev. 5 IA-8 (2) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1348 – Identificação e autenticação (usuários de fora da organização) | Aceitação de terceiros... | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1349 – Identificação e autenticação (usuários de fora da organização) | Uso de produtos aprovados pelo FICAM | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Uso de Perfis Definidos
ID: NIST SP 800-53 Rev. 5 IA-8 (4) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1350 – Identificação e autenticação (usuários de fora da organização) | Uso de perfis emitidos pelo FICAM | A Microsoft implementa esse controle de Identificação e Autenticação | auditoria | 1.0.0 |
Resposta a incidentes
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 IR-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1351 – Política e procedimentos de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1352 – Política e procedimentos de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Treinamento de resposta a incidentes
ID: NIST SP 800-53 Rev. 5 IR-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1353 – Treinamento de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1354 – Treinamento de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1355 – Treinamento de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Eventos simulados
ID: NIST SP 800-53 Rev. 5 IR-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1356 – Treinamento de resposta a incidentes | Eventos simulados | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Ambientes de treinamento automatizado
ID: NIST SP 800-53 Rev. 5 IR-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1357 – Treinamento de resposta a incidentes | Ambientes de treinamento automatizados | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Teste de resposta a incidentes
ID: NIST SP 800-53 Rev. 5 IR-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1358 – Testes de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Coordenação com planos relacionados
ID: NIST SP 800-53 Rev. 5 IR-3 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1359 – Testes de resposta a incidentes | Coordenação com planos relacionados | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Tratamento de incidentes
ID: NIST SP 800-53 Rev. 5 IR-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1360 – Tratamento de incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1361 – Tratamento de incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1362 – Tratamento de incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Processos automatizados de manipulação de incidentes
ID: NIST SP 800-53 Rev. 5 IR-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1363 – Tratamento de incidentes | Processos automatizados de tratamento de incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Reconfiguração dinâmica
ID: NIST SP 800-53 Rev. 5 IR-4 (2)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1364 – Tratamento de incidentes | Reconfiguração dinâmica | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Continuidade das operações
ID: NIST SP 800-53 Rev. 5 IR-4 (3)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1365 – Tratamento de incidentes | Continuidade de operações | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Correlação de informações
ID: NIST SP 800-53 Rev. 5 IR-4 (4)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1366 – Tratamento de incidentes | Correlação de informações | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Ameaças Internas
ID: NIST SP 800-53 Rev. 5 IR-4 (6)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1367 – Tratamento de incidentes | Ameaças internas – Capacidades específicas | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Correlação com organizações externas
ID: NIST SP 800-53 Rev. 5 IR-4 (8)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1368 – Tratamento de incidentes | Correlação com organizações externas | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Monitoramento de incidentes
ID: NIST SP 800-53 Rev. 5 IR-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1369 – Monitoramento de incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Acompanhamento, coleta de dados e análise automatizados
ID: NIST SP 800-53 Rev. 5 IR-5 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1370 – Monitoramento de incidente | Acompanhamento automatizado/Coleta de dados/Análise | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Relatório de incidentes
ID: NIST SP 800-53 Rev. 5 IR-6 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1371 – Relatórios de incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1372 – Relatórios de incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Criação automatizada de relatórios
ID: NIST SP 800-53 Rev. 5 IR-6 (1)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1373 – Relatórios de incidentes | Relatórios automatizados | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Vulnerabilidades relacionadas a incidentes
ID: NIST SP 800-53 Rev. 5 IR-6 (2) Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Assistência de resposta a incidentes
ID: NIST SP 800-53 Rev. 5 IR-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1374 – Assistência de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Suporte de Automação para Disponibilidade de Informações e Suporte
ID: NIST SP 800-53 Rev. 5 IR-7 (1)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1375 – Assistência de resposta a incidentes | Suporte de automação para disponibilidade de informações/suporte | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Coordenação com provedores externos
ID: NIST SP 800-53 Rev. 5 IR-7 (2)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1376 – Assistência de resposta da incidentes | Coordenação com provedores externos | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1377 – Assistência de resposta da incidentes | Coordenação com provedores externos | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Plano de resposta a incidentes
ID: NIST SP 800-53 Rev. 5 IR-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1378 – Plano de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1379 – Plano de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1380 – Plano de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1381 – Plano de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1382 – Plano de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1383 – Plano de resposta a incidentes | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Resposta ao vazamento de informações
ID: NIST SP 800-53 Rev. 5 IR-9 Propriedade: compartilhado
Treinamento
ID: NIST SP 800-53 Rev. 5 IR-9 (2)Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1391 – Resposta a vazamentos de informações | Treinamento | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Operações de pós-derramamento
ID: NIST SP 800-53 Rev. 5 IR-9 (3)Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1392 – Resposta a vazamentos de informações | Operações pós-vazamento | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Exposição a indivíduos não autorizados
ID: NIST SP 800-53 Rev. 5 IR-9 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1393 – Resposta a vazamentos de informações | Exposição a pessoal não autorizado | A Microsoft implementa esse controle de Resposta a Incidentes | auditoria | 1.0.0 |
Manutenção
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 MA-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1394 – Política e procedimentos de manutenção do sistema | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1395 – Política e procedimentos de manutenção do sistema | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Manutenção controlada
ID: NIST SP 800-53 Rev. 5 MA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1396 – Manutenção controlada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1397 – Manutenção controlada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1398 – Manutenção controlada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1399 – Manutenção controlada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1400 – Manutenção controlada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1401 – Manutenção controlada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Atividades de manutenção automatizada
ID: NIST SP 800-53 Rev. 5 MA-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1402 – Manutenção controlada | Atividades de manutenção automatizadas | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1403 – Manutenção controlada | Atividades de manutenção automatizadas | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Ferramentas de manutenção
ID: NIST SP 800-53 Rev. 5 MA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1404 – Ferramentas de manutenção | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Inspecionar ferramentas
ID: NIST SP 800-53 Rev. 5 MA-3 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1405 – Ferramentas de manutenção | Ferramentas de inspeção | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Inspecionar mídia
ID: NIST SP 800-53 Rev. 5 MA-3 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1406 – Ferramentas de manutenção | Inspecionar mídia | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Impedir a remoção não autorizada
ID: NIST SP 800-53 Rev. 5 MA-3 (3) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1407 – Ferramentas de manutenção | Impedir a remoção não autorizada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1408 – Ferramentas de manutenção | Impedir a remoção não autorizada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1409 – Ferramentas de manutenção | Impedir a remoção não autorizada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1410 – Ferramentas de manutenção | Impedir a remoção não autorizada | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Manutenção não local
ID: NIST SP 800-53 Rev. 5 MA-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1411 – Manutenção remota | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1412 – Manutenção remota | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1413 – Manutenção remota | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1414 – Manutenção remota | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1415 – Manutenção remota | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Segurança e Limpeza Comparáveis
ID: NIST SP 800-53 Rev. 5 MA-4 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1417 – Manutenção remota | Segurança/Limpeza comparáveis | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1418 – Manutenção remota | Segurança/Limpeza comparáveis | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 5 MA-4 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1419 – Manutenção remota | Proteção criptográfica | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Equipe de manutenção
ID: NIST SP 800-53 Rev. 5 MA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1420 – Pessoal de manutenção | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1421 – Pessoal de manutenção | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1422 – Pessoal de manutenção | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Indivíduos sem acesso apropriado
ID: NIST SP 800-53 Rev. 5 MA-5 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1423 – Pessoal de manutenção | Indivíduos sem acesso apropriado | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1424 – Pessoal de manutenção | Indivíduos sem acesso apropriado | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Manutenção oportuna
ID: NIST SP 800-53 Rev. 5 MA-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1425 – Manutenção pontual | A Microsoft implementa esse controle de Manutenção | auditoria | 1.0.0 |
Proteção de Mídia
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 MP-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1426 – Política e procedimentos de proteção de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1427 – Política e procedimentos de proteção de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Acesso à mídia
ID: NIST SP 800-53 Rev. 5 MP-2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1428 – Acesso à mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Marcação de mídia
ID: NIST SP 800-53 Rev. 5 MP-3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1429 – Rotulagem de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1430 – Rotulagem de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Armazenamento de mídia
ID: NIST SP 800-53 Rev. 5 MP-4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1431 – Armazenamento de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1432 – Armazenamento de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Transporte de dados
ID: NIST SP 800-53 Rev. 5 MP-5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1433 – Transporte de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1434 – Transporte de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1435 – Transporte de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1436 – Transporte de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Limpeza de mídia
ID: NIST SP 800-53 Rev. 5 MP-6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1438 – Limpeza e descarte de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1439 – Limpeza e descarte de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Revisar, Aprovar, Acompanhar, Documentar e Verificar
ID: NIST SP 800-53 Rev. 5 MP-6 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1440 – Limpeza e descarte de mídia | Revisar / aprovar / acompanhar / documentar / verificar | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Teste de equipamento
ID: NIST SP 800-53 Rev. 5 MP-6 (2) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1441 – Limpeza e Descarte de mídia | Testes de equipamentos | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Técnicas não destrutivas
ID: NIST SP 800-53 Rev. 5 MP-6 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1442 – Limpeza e Descarte de mídia | Técnicas não destrutivas | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Uso de mídia
ID: NIST SP 800-53 Rev. 5 MP-7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1443 – Uso de mídia | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1444 – Uso de mídia | Proibir o uso sem proprietário | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
Proteção Física e Ambiental
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 PE-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1445 – Política e procedimentos de proteção física e ambiental | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1446 – Política e procedimentos de proteção física e ambiental | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Autorizações de Acesso Físico
ID: NIST SP 800-53 Rev. 5 PE-2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1447 – Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1448 – Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1449 – Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1450 – Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controles de Acesso Físico
ID: NIST SP 800-53 Rev. 5 PE-3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1451 – Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1452 – Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1453 – Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1454 – Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1455 – Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1456 – Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1457 – Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Acesso ao Sistema
ID: NIST SP 800-53 Rev. 5 PE-3 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1458 – Controle de acesso físico | Acesso do sistema de informações | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controle de Acesso para Transmissão
ID: NIST SP 800-53 Rev. 5 PE-4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1459 – Controle de acesso para mídia de transmissão | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controle de Acesso para Dispositivos de Saída
ID: NIST SP 800-53 Rev. 5 PE-5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1460 – Controle de acesso para dispositivos de saída | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Monitorando Acesso Físico
ID: NIST SP 800-53 Rev. 5 PE-6 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1461 – Monitoramento do acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1462 – Monitoramento do acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1463 – Monitoramento do acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Alarmes de Invasão e Equipamentos de Vigilância
ID: NIST SP 800-53 Rev. 5 PE-6 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1464 – Monitoramento do acesso físico | Alarmes de invasão/Equipamento de vigilância | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Monitoramento do Acesso Físico aos Sistemas
ID: NIST SP 800-53 Rev. 5 PE-6 (4)Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1465 – Monitoramento do acesso físico | Monitoramento do acesso físico a sistemas de informações | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Registros de Acesso de Visitante
ID: NIST SP 800-53 Rev. 5 PE-8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1466 – Registros de acesso de visitante | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1467 – Registros de acesso de visitante | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Manutenção e Revisão Automatizada de Registros
ID: NIST SP 800-53 Rev. 5 PE-8 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1468 – Registros de acesso de visitante | Manutenção/revisão de registros automatizados | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Equipamento de Energia e Cabeamento
ID: NIST SP 800-53 Rev. 5 PE-9 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1469 – Equipamento de energia e cabeamento | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Desligamento de Emergência
ID: NIST SP 800-53 Rev. 5 PE-10 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1470 – Desligamento de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1471 – Desligamento de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1472 – Desligamento de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Alimentação de Emergência
ID: NIST SP 800-53 Rev. 5 PE-11 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1473 – Energia de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Fonte de Alimentação Alternativa ??? Capacidade operacional mínima
ID: NIST SP 800-53 Rev. 5 PE-11 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1474 – Emergency Power | Fonte de energia alternativa de longo prazo – Capacidade operacional mínima | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Iluminação de Emergência
ID: NIST SP 800-53 Rev. 5 PE-12 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1475 – Iluminação de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Proteção ao Fogo
ID: NIST SP 800-53 Rev. 5 PE-13 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1476 – Proteção contra incêndio | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Sistemas de Detecção ??? Ativação e notificação automáticas
ID: NIST SP 800-53 Rev. 5 PE-13 (1) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1477 – Proteção contra incêndio | Dispositivos/sistemas de detecção | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Sistemas de Supressão ??? Ativação e notificação automáticas
ID: NIST SP 800-53 Rev. 5 PE-13 (2) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1478 – Proteção contra incêndio | Dispositivos/sistemas de supressão | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1479 – Proteção contra incêndio | Supressão de incêndio automática | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controles Ambientais
ID: NIST SP 800-53 Rev. 5 PE-14 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1480 – Controles de temperatura e umidade | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1481 – Controles de temperatura e umidade | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Monitoramento com Alarmes e Notificações
ID: NIST SP 800-53 Rev. 5 PE-14 (2) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1482 – Controles de temperatura e umidade | Monitoramento com alarmes/notificações | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Proteção contra Danos de Água
ID: NIST SP 800-53 Rev. 5 PE-15 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1483 – Proteção contra danos causados pela água | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Suporte de automação
ID: NIST SP 800-53 Rev. 5 PE-15 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1484 – Proteção contra danos causados pela água | Suporte de automação | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Entrega e Remoção
ID: NIST SP 800-53 Rev. 5 PE-16 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1485 – Entrega e remoção | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Site de Trabalho Alternado
ID: NIST SP 800-53 Rev. 5 PE-17 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1486 – Site de trabalho alternativo | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1487 – Site de trabalho alternativo | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1488 – Site de trabalho alternativo | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Localização dos Componentes do Sistema
ID: NIST SP 800-53 Rev. 5 PE-18 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1489 – Localização dos componentes do sistema de informações | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Planejamento
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 PL-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1490 – Política e procedimentos de planejamento de segurança | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1491 – Política e procedimentos de planejamento de segurança | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
Planos de Segurança e Privacidade do Sistema
ID: NIST SP 800-53 Rev. 5 PL-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1492 – Plano de segurança do sistema | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1493 – Plano de segurança do sistema | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1494 – Plano de segurança do sistema | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1495 – Plano de segurança do sistema | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1496 – Plano de segurança do sistema | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1497 – Plano de segurança do sistema | Planejar/coordenar com outras entidades organizacionais | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
Regras de comportamento
ID: NIST SP 800-53 Rev. 5 PL-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1498 – Regras de comportamento | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1499 – Regras de comportamento | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1500 – Regras de comportamento | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1501 – Regras de comportamento | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
Restrições de Uso de Site/Aplicativo Externo e Mídias Sociais
ID: NIST SP 800-53 Rev. 5 PL-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1502 – Regras de comportamento | Restrições de rede e mídias sociais | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
Arquiteturas de Segurança e Privacidade
ID: NIST SP 800-53 Rev. 5 PL-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1503 – Arquitetura de segurança de informações | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1504 – Arquitetura de segurança de informações | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1505 – Arquitetura de segurança de informações | A Microsoft implementa esse controle de Planejamento | auditoria | 1.0.0 |
Segurança de pessoal
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 PS-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1506 – Política e procedimentos de segurança de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1507 – Política e procedimentos de segurança de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Designação de risco de posição
ID: NIST SP 800-53 Rev. 5 PS-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1508 – Categorização de posição | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1509 – Categorização de posição | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1510 – Categorização de posição | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Equipe de triagem
ID: NIST SP 800-53 Rev. 5 PS-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1511 – Triagem de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1512 – Triagem de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Informações que Exigem Medidas Especiais de Proteção
ID: NIST SP 800-53 Rev. 5 PS-3 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1513 – Triagem de pessoal | Informações com medidas de proteção especiais | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1514 – Triagem de pessoal | Informações com medidas de proteção especiais | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Encerramento de equipe
ID: NIST SP 800-53 Rev. 5 PS-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1515 – Término de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1516 – Término de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1517 – Término de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1518 – Término de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1519 – Término de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1520 – Término de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Ações Automatizadas
ID: NIST SP 800-53 Rev. 5 PS-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1521 – Término de pessoal | Notificação automatizada | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Transferência de pessoal
ID: NIST SP 800-53 Rev. 5 PS-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1522 – Transferência de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1523 – Transferência de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1524 – Transferência de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1525 – Transferência de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Contratos de acesso
ID: NIST SP 800-53 Rev. 5 PS-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1526 – Contratos de acesso | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1527 – Contratos de acesso | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1528 – Contratos de acesso | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Segurança de Pessoal Externo
ID: NIST SP 800-53 Rev. 5 PS-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1529 – Segurança de pessoal de terceiros | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1530 – Segurança de pessoal de terceiros | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1531 – Segurança de pessoal de terceiros | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1532 – Segurança de pessoal de terceiros | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1533 – Segurança de pessoal de terceiros | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Sanções ao pessoal
ID: NIST SP 800-53 Rev. 5 PS-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1534 – Sanções de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1535 – Sanções de pessoal | A Microsoft implementa esse controle de Segurança de Pessoal | auditoria | 1.0.0 |
Avaliação de risco
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 RA-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1536 – Política e procedimentos de avaliação de risco | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1537 – Política e procedimentos de avaliação de risco | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Categorização de segurança
ID: NIST SP 800-53 Rev. 5 RA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1538 – Categorização de segurança | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1539 – Categorização de segurança | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1540 – Categorização de segurança | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Avaliação de risco
ID: NIST SP 800-53 Rev. 5 RA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1541 – Avaliação de risco | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1542 – Avaliação de risco | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1543 – Avaliação de risco | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1544 – Avaliação de risco | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1545 – Avaliação de risco | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Monitoramento e verificação de vulnerabilidades
ID: NIST SP 800-53 Rev. 5 RA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1546 – Verificação de vulnerabilidade | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1547 – Verificação de vulnerabilidade | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1548 – Verificação de vulnerabilidade | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1549 – Verificação de vulnerabilidade | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1550 – Verificação de vulnerabilidade | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1551 – Verificação de vulnerabilidade | Capacidade da ferramenta de atualização | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | Audite vulnerabilidades na configuração de segurança em computadores com o Docker instalado e exiba como recomendações na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
| As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | Faça a auditoria das vulnerabilidades do SO nos seus conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ataques. | AuditIfNotExists, desabilitado | 3.0.0 |
| A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 1.0.1 |
| A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 3.0.0 |
| A avaliação de vulnerabilidade deve ser habilitada em seus workspaces do Azure Synapse | Descubra, acompanhe e corrija potenciais vulnerabilidades configurando verificações de avaliação de vulnerabilidades SQL recorrentes em seus workspaces do Azure Synapse. | AuditIfNotExists, desabilitado | 1.0.0 |
Atualizar vulnerabilidades para serem examinadas
ID: NIST SP 800-53 Rev. 5 RA-5 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1552 – Verificação de vulnerabilidade | Atualizar por frequência/Antes de nova verificação/Quando identificado | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Abrangência e Profundidade da Cobertura
ID: NIST SP 800-53 Rev. 5 RA-5 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1553 – Verificação de vulnerabilidade | Amplitude/profundidade de cobertura | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Informações identificáveis
ID: NIST SP 800-53 Rev. 5 RA-5 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1554 – Verificação de vulnerabilidade | Informações detectáveis | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Acesso privilegiado
ID: NIST SP 800-53 Rev. 5 RA-5 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1555 – Verificação de vulnerabilidade | Acesso privilegiado | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Análise automatizada de tendências
ID: NIST SP 800-53 Rev. 5 RA-5 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1556 – Verificação de vulnerabilidade | Análises automatizadas de tendências | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Analisar logs de auditoria históricos
ID: NIST SP 800-53 Rev. 5 RA-5 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1557 – Verificação de vulnerabilidade | Examinar logs de auditoria históricos | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Correlacionar informações de verificação
ID: NIST SP 800-53 Rev. 5 RA-5 (10) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1558 – Verificação de vulnerabilidade | Correlacionar informações de verificação | A Microsoft implementa esse controle de Avaliação de Risco | auditoria | 1.0.0 |
Aquisições do sistema e de serviços
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 SA-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1559 – Política e procedimentos de aquisição de sistema e serviços | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1560 – Política e procedimentos de aquisição de sistema e serviços | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Alocação de recursos
ID: NIST SP 800-53 Rev. 5 SA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1561 – Alocação de recursos | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1562 – Alocação de recursos | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1563 – Alocação de recursos | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Ciclo de vida de desenvolvimento de sistemas
ID: NIST SP 800-53 Rev. 5 SA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1564 – Ciclo de vida de desenvolvimento de sistemas | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1565 – Ciclo de vida de desenvolvimento de sistemas | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1566 – Ciclo de vida de desenvolvimento de sistemas | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1567 – Ciclo de vida de desenvolvimento de sistemas | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Processo de aquisição
ID: NIST SP 800-53 Rev. 5 SA-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1568 – Processo de aquisições | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1569 – Processo de aquisições | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1570 – Processo de aquisições | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1571 – Processo de aquisições | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1572 – Processo de aquisições | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1573 – Processo de aquisições | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1574 – Processo de aquisições | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Propriedades funcionais de controles
ID: NIST SP 800-53 Rev. 5 SA-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1575 – Processo de aquisições | Propriedades funcionais dos controles de segurança | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Informações de design e implementação para controles
ID: NIST SP 800-53 Rev. 5 SA-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1576 – Processo de aquisições | Informações de design/implementação para controles de segurança | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Plano de monitoramento contínuo para controles
ID: NIST SP 800-53 Rev. 5 SA-4 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1577 – Processo de aquisições | Plano de monitoramento contínuo | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Funções, portas, protocolos e serviços em uso
ID: NIST SP 800-53 Rev. 5 SA-4 (9) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1578 – Processo de aquisições | Funções/portas/protocolos/serviços em uso | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Uso de produtos PIV aprovados
ID: NIST SP 800-53 Rev. 5 SA-4 (10) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1579 – Processo de aquisições | Uso de produtos de PIV aprovados | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Documentação do sistema
ID: NIST SP 800-53 Rev. 5 SA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1580 – Documentação do sistema de informações | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1581 – Documentação do sistema de informações | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1582 – Documentação do sistema de informações | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1583 – Documentação do sistema de informações | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1584 – Documentação do sistema de informações | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Princípios de Engenharia de Segurança e Privacidade
ID: NIST SP 800-53 Rev. 5 SA-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1585 – Princípios da engenharia de segurança | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Serviços do sistema externo
ID: NIST SP 800-53 Rev. 5 SA-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1586 – Serviços do sistema de informações externo | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1587 – Serviços do sistema de informações externo | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1588 – Serviços do sistema de informações externo | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Avaliações de risco e aprovações organizacionais
ID: NIST SP 800-53 Rev. 5 SA-9 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1589 – Serviços do sistema de informações externo | Avaliações de risco/Aprovações organizacionais | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1590 – Serviços do sistema de informações externo | Avaliações de risco/Aprovações organizacionais | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Identificação de funções, portas, protocolos e serviços
ID: NIST SP 800-53 Rev. 5 SA-9 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1591 – Serviços do sistema de informações externo | Identificação de funções/portas/protocolos... | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Interesses consistentes de consumidores e provedores
ID: NIST SP 800-53 Rev. 5 SA-9 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1592 – Serviços do sistema de informações externo | Interesses consistentes de consumidores e provedores | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Processamento, armazenamento e localização de serviço
ID: NIST SP 800-53 Rev. 5 SA-9 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1593 – Serviços do sistema de informações externo | Processamento, armazenamento e localização do serviço | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Gerenciamento de configurações do desenvolvedor
ID: NIST SP 800-53 Rev. 5 SA-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1594 – Gerenciamento de configuração do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1595 – Gerenciamento de configuração do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1596 – Gerenciamento de configuração do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1597 – Gerenciamento de configuração do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1598 – Gerenciamento de configuração do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Verificação de integridade de software e firmware
ID: NIST SP 800-53 Rev. 5 SA-10 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1599 – Gerenciamento de configuração do desenvolvedor | Verificação de integridade do software/firmware | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Teste e avaliação de desenvolvedor
ID: NIST SP 800-53 Rev. 5 SA-11 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1600 – Testes e avaliação de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1601 – Testes e avaliação de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1602 – Testes e avaliação de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1603 – Testes e avaliação de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1604 – Testes e avaliação de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Análise de código estático
ID: NIST SP 800-53 Rev. 5 SA-11 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1605 – Testes e avaliação de segurança do desenvolvedor | Análise de código estática | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Análises de vulnerabilidade e modelagem de ameaças
ID: NIST SP 800-53 Rev. 5 SA-11 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1606 – Testes e avaliação de segurança do desenvolvedor | Análises de ameaça e vulnerabilidade | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Análise de código dinâmico
ID: NIST SP 800-53 Rev. 5 SA-11 (8) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1607 – Testes e avaliação de segurança do desenvolvedor | Análise de código dinâmica | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Processo, padrões e ferramentas de desenvolvimento
ID: NIST SP 800-53 Rev. 5 SA-15 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1609 – Processo, padrões e ferramentas de desenvolvimento | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1610 – Processo, padrões e ferramentas de desenvolvimento | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Treinamento disponibilizado pelo desenvolvedor
ID: NIST SP 800-53 Rev. 5 SA-16 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1611 – Treinamento fornecido pelo desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Arquitetura e design de segurança e privacidade do desenvolvedor
ID: NIST SP 800-53 Rev. 5 SA-17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1612 – Arquitetura e design de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1613 – Arquitetura e design de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1614 – Arquitetura e design de segurança do desenvolvedor | A Microsoft implementa esse controle de Aquisição de Sistema e Serviços | auditoria | 1.0.0 |
Proteção do Sistema e das Comunicações
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 SC-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1615 – Política e procedimentos de proteção do sistema e das comunicações | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1616 – Política e procedimentos de proteção do sistema e das comunicações | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Separação da funcionalidade do sistema e do usuário
ID: NIST SP 800-53 Rev. 5 SC-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1617 – Particionamento de aplicativo | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Isolamento de função de segurança
ID: NIST SP 800-53 Rev. 5 SC-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | Faça a auditoria da existência de uma solução de proteção de ponto de extremidade e da sua integridade nos seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1618 – Isolamento de função de segurança | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 1.1.1 |
Informações em recursos de sistemas compartilhados
ID: NIST SP 800-53 Rev. 5 SC-4 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1619 – Informações em recursos compartilhados | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Proteção contra negação de serviço
ID: NIST SP 800-53 Rev. 5 SC-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A Proteção contra DDoS do Azure deve ser habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
| O Firewall do Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1620 – Proteção contra negação de serviço | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Disponibilidade de recursos
ID: NIST SP 800-53 Rev. 5 SC-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1621 – Disponibilidade de recurso | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Proteção de limite
ID: NIST SP 800-53 Rev. 5 SC-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.0 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.0.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Key Vault deve ter o firewall habilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, desabilitado | 1.4.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| Os Serviços Cognitivos devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1622 – Proteção de limite | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1623 – Proteção de limite | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1624 – Proteção de limite | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Pontos de acesso
ID: NIST SP 800-53 Rev. 5 SC-7 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.0 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.0.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Key Vault deve ter o firewall habilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, desabilitado | 1.4.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| Os Serviços Cognitivos devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1625 – Proteção de limite | Pontos de acesso | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Serviços externos de telecomunicações
ID: NIST SP 800-53 Rev. 5 SC-7 (4) Propriedade: compartilhado
Negar por padrão ??? Permitir por exceção
ID: NIST SP 800-53 Rev. 5 SC-7 (5) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1155 – Interconexões de sistema | Restrições para conexões com sistema externo | A Microsoft implementa esse controle de Avaliação e Autorização de Segurança | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1631 – Proteção de limite | Negar por padrão/permitir por exceção | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Túnel dividido para dispositivos remotos
ID: NIST SP 800-53 Rev. 5 SC-7 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1632 – Proteção de limite | Impedir divisão de túnel para dispositivos remotos | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Rotear o tráfego para os servidores proxy autenticados
ID: NIST SP 800-53 Rev. 5 SC-7 (8) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1633 – Proteção de limite | Rotear o tráfego para os servidores proxy autenticados | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Impedir exfiltração
ID: NIST SP 800-53 Rev. 5 SC-7 (10) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1634 – Proteção de limite | Impedir a exfiltração não autorizada | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Proteção baseada em host
ID: NIST SP 800-53 Rev. 5 SC-7 (12) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1635 – Proteção de limite | Proteção baseada em host | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Isolamento de ferramentas de segurança, mecanismos e componentes de suporte
ID: NIST SP 800-53 Rev. 5 SC-7 (13) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1636 – Proteção de limite | Isolamento de componentes de suporte/mecanismos/ferramentas de segurança | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Falha na segurança
ID: NIST SP 800-53 Rev. 5 SC-7 (18) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1637 – Proteção de limite | Segurança contra falhas | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Divisão e isolamento dinâmicos
ID: NIST SP 800-53 Rev. 5 SC-7 (20) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1638 – Proteção de limite | Isolamento/segregação dinâmica | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Isolamento de Componentes do Sistema
ID: NIST SP 800-53 Rev. 5 SC-7 (21) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1639 – Proteção de limite | Isolamento de componentes do sistema de informações | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Confidencialidade e integridade de transmissão
ID: NIST SP 800-53 Rev. 5 SC-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Azure HDInsight devem usar a criptografia em trânsito para criptografar a comunicação entre os nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre os nós de cluster do Azure HDInsight. A habilitação da criptografia em trânsito resolve problemas de uso indevido e violação durante essa transmissão. | Audit, Deny, desabilitado | 1.0.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
| Controle Gerenciado da Microsoft 1640 – Confidencialidade e integridade de transmissões | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 3.0.1 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 5 SC-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Azure HDInsight devem usar a criptografia em trânsito para criptografar a comunicação entre os nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre os nós de cluster do Azure HDInsight. A habilitação da criptografia em trânsito resolve problemas de uso indevido e violação durante essa transmissão. | Audit, Deny, desabilitado | 1.0.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
| Controle Gerenciado da Microsoft 1641 – Confidencialidade e integridade de transmissões | Proteção física criptográfica ou alternativa | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 3.0.1 |
Desconexão da rede
ID: NIST SP 800-53 Rev. 5 SC-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1642 – Desconexão de rede | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Estabelecimento de Chave de Criptografia e Gerenciamento
ID: NIST SP 800-53 Rev. 5 SC-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados de backup | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os dados do Serviço de Provisionamento de Dispositivos do Hub IoT devem ser criptografados usando CMKs (chaves gerenciadas pelo cliente) | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Serviço de Provisionamento de Dispositivos no Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| As contas da Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso das suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. | Audit, Deny, desabilitado | 1.0.0 |
| A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta do Lote. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. | Audit, Deny, desabilitado | 1.0.1 |
| O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Auditoria, desabilitado, negação | 1.0.0 |
| As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo | Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box para preparar o dispositivo e copiar dados de maneira automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com a criptografia AES de 256 bits e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada da Microsoft. | Audit, Deny, desabilitado | 1.0.0 |
| A criptografia em repouso do Azure Data Explorer deve usar uma chave gerenciada pelo cliente | A habilitação da criptografia em repouso por meio de uma chave gerenciada pelo cliente no cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso é muitas vezes aplicável a clientes com requisitos de conformidade especiais e exige um Key Vault para gerenciar as chaves. | Audit, Deny, desabilitado | 1.0.0 |
| Os Azure Data Factories devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. | Audit, Deny, desabilitado | 1.0.1 |
| Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. | Audit, Deny, desabilitado | 1.0.1 |
| Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados inativos | A habilitação da criptografia no host ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
| Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, desabilitado | 1.0.3 |
| Os clusters de Logs do Azure Monitor devem ser criptografados com uma chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente quando desejar armazenar com segurança qualquer ativo de dados privados e de metadados dos seus trabalhos do Stream Analytics na sua conta de armazenamento. Isso dá a você controle total sobre como os seus dados do Stream Analytics são criptografados. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os workspaces do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos workspaces do Azure Synapse. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além da criptografia padrão com chaves gerenciadas pelo serviço. | Audit, Deny, desabilitado | 1.0.0 |
| O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente | O Serviço de Bot do Azure criptografa automaticamente o seu recurso para proteger os seus dados e atender aos compromissos de conformidade e segurança da organização. Por padrão, são usadas as chaves de criptografia gerenciadas pela Microsoft. Para obter mais flexibilidade no gerenciamento de chaves ou no controle de acesso à sua assinatura, selecione as chaves gerenciadas pelo cliente, também conhecidas como BYOK (Bring Your Own Key). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente | As chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados armazenados em Serviços Cognitivos sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre as chaves gerenciadas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, desabilitado | 2.1.0 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Audit, Deny, desabilitado | 1.1.2 |
| Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia | Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Audit, desabilitado | 1.0.0 |
| O Ambiente de Serviço de Integração dos Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente | Faça a implantação no Ambiente de Serviço de Integração para gerenciar a criptografia em repouso de dados de Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Audit, Deny, desabilitado | 1.0.0 |
| Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Audit, Deny, desabilitado | 1.0.0 |
| Controle Gerenciado da Microsoft 1643 – Estabelecimento e gerenciamento de chave de criptografia | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 3.0.0 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao workspace do Log Analytics para proteger as consultas salvas com criptografia de conta de armazenamento. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre os itens acima, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os namespaces do Barramento de Serviço Premium devem usar uma chave gerenciada pelo cliente para criptografia | O Barramento de Serviço do Azure dá suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Barramento de Serviço usará para criptografar dados em seu namespace. Observe que o Barramento de Serviço dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Audit, desabilitado | 1.0.0 |
| As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
| Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
| Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use as chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia da conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Audit, Deny, desabilitado | 1.0.0 |
| As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
Disponibilidade
ID: NIST SP 800-53 Rev. 5 SC-12 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1644 – Estabelecimento e gerenciamento de chave de criptografia | Disponibilidade | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Chaves simétricas
ID: NIST SP 800-53 Rev. 5 SC-12 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1645 – Estabelecimento e gerenciamento de chave de criptografia | Chaves simétricas | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Chaves assimétricas
ID: NIST SP 800-53 Rev. 5 SC-12 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1646 – Estabelecimento e gerenciamento de chave de criptografia | Chaves assimétricas | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 5 SC-13 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1647 – Uso de Criptografia | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Dispositivos e aplicativos de computação colaborativos
ID: NIST SP 800-53 Rev. 5 SC-15 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1648 – Dispositivos de computação colaborativos | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1649 – Dispositivos de computação colaborativos | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Certificados de infraestrutura de chave pública
ID: NIST SP 800-53 Rev. 5 SC-17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1650 – Certificados de infraestrutura de chave pública | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Código móvel
ID: NIST SP 800-53 Rev. 5 SC-18 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1651 – Código móvel | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1652 – Código móvel | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1653 – Código móvel | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Serviço de resolução de nome/endereço seguro (fonte autoritativa)
ID: NIST SP 800-53 Rev. 5 SC-20 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1656 – Serviço seguro de resolução de nome/endereço (fonte autoritativa) | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1657 – Serviço seguro de resolução de nome/endereço (fonte autoritativa) | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Serviço de resolução de nome/endereço seguro (Resolvedor recursivo ou de cache)
ID: NIST SP 800-53 Rev. 5 SC-21 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1658 – Serviço seguro de resolução de nome/endereço (Resolvedor recursivo ou de cache) | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Arquitetura e provisionamento para serviço de resolução de nome/endereço
ID: NIST SP 800-53 Rev. 5 SC-22 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1659 – Arquitetura e provisionamento para serviço de resolução de nome/endereço | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Autenticidade de sessão
ID: NIST SP 800-53 Rev. 5 SC-23 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1660 – Autenticidade da sessão | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Invalidar identificadores de sessão no logoff
ID: NIST SP 800-53 Rev. 5 SC-23 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1661 – Autenticidade da sessão | Invalidar identificadores da sessão no logoff | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Falha no estado conhecido
ID: NIST SP 800-53 Rev. 5 SC-24 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1662 – Falha em estado conhecido | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Proteção de informações em repouso
ID: NIST SP 800-53 Rev. 5 SC-28 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, desabilitado | 1.0.1 |
| As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
| Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados inativos no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados inativos no dispositivo. O dispositivo já está protegido por meio da criptografia AES de 256 bits para dados inativos. Essa opção adiciona uma segunda camada de criptografia de dados. | Audit, Deny, desabilitado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados inativos no dispositivo, ele deve ser duplamente criptografado, o acesso aos dados deve ser controlado e, depois que o dispositivo for desativado, os dados devem ser apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: Criptografia de 256 bits BitLocker XTS-AES nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| A criptografia de disco deve ser habilitada no Azure Data Explorer | A habilitação da criptografia de disco ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. | Audit, Deny, desabilitado | 2.0.0 |
| A criptografia dupla deve ser habilitada no Azure Data Explorer | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. | Audit, Deny, desabilitado | 2.0.0 |
| Controle Gerenciado da Microsoft 1663 – Proteção de informações em repouso | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Audit, Deny, desabilitado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento | Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desabilitado | 2.0.3 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 5 SC-28 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, desabilitado | 1.0.1 |
| As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
| Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados inativos no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados inativos no dispositivo. O dispositivo já está protegido por meio da criptografia AES de 256 bits para dados inativos. Essa opção adiciona uma segunda camada de criptografia de dados. | Audit, Deny, desabilitado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados inativos no dispositivo, ele deve ser duplamente criptografado, o acesso aos dados deve ser controlado e, depois que o dispositivo for desativado, os dados devem ser apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: Criptografia de 256 bits BitLocker XTS-AES nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| A criptografia de disco deve ser habilitada no Azure Data Explorer | A habilitação da criptografia de disco ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. | Audit, Deny, desabilitado | 2.0.0 |
| A criptografia dupla deve ser habilitada no Azure Data Explorer | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. | Audit, Deny, desabilitado | 2.0.0 |
| Controle Gerenciado da Microsoft 1437 – Transporte de mídia | Proteção criptográfica | A Microsoft implementa esse controle de Proteção de Mídia | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1664 – Proteção de informações em repouso | Proteção criptográfica | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
| A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Audit, Deny, desabilitado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento | Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desabilitado | 2.0.3 |
Isolamento do processo
ID: NIST SP 800-53 Rev. 5 SC-39 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1665 – Isolamento de processo | A Microsoft implementa esse controle de Proteção do Sistema e de Comunicações | auditoria | 1.0.0 |
Integridade do Sistema e das Informações
Política e Procedimentos
ID: NIST SP 800-53 Rev. 5 SI-1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1666 – Política e procedimentos de integridade do sistema e das informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1667 – Política e procedimentos de integridade do sistema e das informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Correção de falhas
ID: NIST SP 800-53 Rev. 5 SI-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior | Audit, desabilitado | 1.0.2 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1668 – Correção de falhas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1669 – Correção de falhas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1670 – Correção de falhas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1671 – Correção de falhas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | Faça uma auditoria para verificar se faltam atualizações de segurança do sistema e atualizações críticas que devem ser instaladas para garantir que os seus conjuntos de dimensionamento de máquinas virtuais Windows e Linux estejam seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
| As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | Faça a auditoria das vulnerabilidades do SO nos seus conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ataques. | AuditIfNotExists, desabilitado | 3.0.0 |
Status da correção automática de falhas
ID: NIST SP 800-53 Rev. 5 SI-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1673 – Correção de falhas | Status da correção automática de falhas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Tempo para corrigir falhas e parâmetro de comparação para ações corretivas
ID: NIST SP 800-53 Rev. 5 SI-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1674 – Correção de falhas | Tempo para corrigir falhas/Benchmarks para ações corretivas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1675 – Correção de falhas | Tempo para corrigir falhas/Benchmarks para ações corretivas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Remoção de versões anteriores de software e firmware
ID: NIST SP 800-53 Rev. 5 SI-2 (6) Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior | Audit, desabilitado | 1.0.2 |
Proteção contra código mal-intencionado
ID: NIST SP 800-53 Rev. 5 SI-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | Faça a auditoria da existência de uma solução de proteção de ponto de extremidade e da sua integridade nos seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desabilitado | 3.0.0 |
| Controle Gerenciado da Microsoft 1676 – Proteção contra código malicioso | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1677 – Proteção contra código malicioso | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1678 – Proteção contra código malicioso | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1679 – Proteção contra código malicioso | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1681 – Proteção contra código malicioso | Atualizações automáticas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1682 – Proteção contra código malicioso | Detecção baseada em não assinatura | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 1.1.1 |
Monitoramento do Sistema
ID: NIST SP 800-53 Rev. 5 SI-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
| O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure | Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança | AuditIfNotExists, desabilitado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Controle Gerenciado da Microsoft 1683 – Monitoramento do sistema de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1684 – Monitoramento do sistema de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1685 – Monitoramento do sistema de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1686 – Monitoramento do sistema de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1687 – Monitoramento do sistema de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1688 – Monitoramento do sistema de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1689 – Monitoramento do sistema de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Sistema de detecção de invasões com abrangência de cobertura no sistema
ID: NIST SP 800-53 Rev. 5 SI-4 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1690 – Monitoramento do sistema de informações | Sistema de detecção de intrusão em todo o sistema | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Ferramentas e mecanismos automatizados para análise em tempo real
ID: NIST SP 800-53 Rev. 5 SI-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1691 – Monitoramento do sistema de informações | Ferramentas automatizadas para análise em tempo real | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Tráfego de comunicações de entrada e saída
ID: NIST SP 800-53 Rev. 5 SI-4 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1692 – Monitoramento do sistema de informações | Tráfego de comunicações de entrada e saída | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Alertas gerados pelo sistema
ID: NIST SP 800-53 Rev. 5 SI-4 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1693 – Monitoramento do sistema de informações | Alertas gerados pelo sistema | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Analisar anomalias do tráfego de comunicações
ID: NIST SP 800-53 Rev. 5 SI-4 (11) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1694 – Monitoramento do sistema de informações | Analisar anomalias no tráfego de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Alertas automatizados gerados pela organização
ID: NIST SP 800-53 Rev. 5 SI-4 (12) Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Detecção de intrusões sem fio
ID: NIST SP 800-53 Rev. 5 SI-4 (14) Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1695 – Monitoramento do sistema de informações | Detecção de intrusão sem fio | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Correlacionar informações de monitoramento
ID: NIST SP 800-53 Rev. 5 SI-4 (16) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1696 – Monitoramento do sistema de informações | Correlacionar as informações de monitoramento | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Analisar tráfego e exfiltração oculta
ID: NIST SP 800-53 Rev. 5 SI-4 (18) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1697 – Monitoramento do sistema de informações | Analisar o tráfego/exfiltração oculta | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Riscos para pessoas
ID: NIST SP 800-53 Rev. 5 SI-4 (19) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1698 – Monitoramento do sistema de informações | Indivíduos que apresentam um risco maior | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Usuários com privilégios
ID: NIST SP 800-53 Rev. 5 SI-4 (20) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1699 – Monitoramento do sistema de informações | Usuários privilegiados | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Serviços de rede não autorizados
ID: NIST SP 800-53 Rev. 5 SI-4 (22) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1700 – Monitoramento do sistema de informações | Serviços de rede não autorizados | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Dispositivos baseados em host
ID: NIST SP 800-53 Rev. 5 SI-4 (23) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1701 – Monitoramento do sistema de informações | Dispositivos baseados em host | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Indicadores de comprometimento
ID: NIST SP 800-53 Rev. 5 SI-4 (24) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1702 – Monitoramento do sistema de informações | Indicadores de comprometimento | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Alertas, avisos e diretivas de segurança
ID: NIST SP 800-53 Rev. 5 SI-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1703 – Alertas de segurança e Assistentes | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1704 – Alertas de segurança e Assistentes | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1705 – Alertas de segurança e Assistentes | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1706 – Alertas de segurança e Assistentes | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Alertas e comunicados automatizados
ID: NIST SP 800-53 Rev. 5 SI-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1707 – Alertas de segurança e Assistentes | Alertas e assistentes automatizados | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Verificação de função de segurança e privacidade
ID: NIST SP 800-53 Rev. 5 SI-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1708 – Verificação da funcionalidade de segurança | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1709 – Verificação da funcionalidade de segurança | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1710 – Verificação da funcionalidade de segurança | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1711 – Verificação da funcionalidade de segurança | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Integridade de software, firmware e informações
ID: NIST SP 800-53 Rev. 5 SI-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1712 – Integridade de software e informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Verificações de integridade
ID: NIST SP 800-53 Rev. 5 SI-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1713 – Integridade de software e informações | Verificações de integridade | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Notificações automatizadas de violações de integridade
ID: NIST SP 800-53 Rev. 5 SI-7 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1714 – Integridade de software e informações | Notificações automatizadas de violações de integridade | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Resposta automatizada a violações de integridade
ID: NIST SP 800-53 Rev. 5 SI-7 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1715 – Integridade de software e informações | Resposta automatizada para violações de integridade | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Integração de detecção e resposta
ID: NIST SP 800-53 Rev. 5 SI-7 (7) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1716 – Integridade de software e informações | Integração de detecção e resposta | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Proteção contra spam
ID: NIST SP 800-53 Rev. 5 SI-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1719 – Proteção contra spam | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1720 – Proteção contra spam | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Atualizações Automáticas
ID: NIST SP 800-53 Rev. 5 SI-8 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1722 – Proteção contra spam | Atualizações automáticas | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Validação de entrada de informações
ID: NIST SP 800-53 Rev. 5 SI-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1723 – Validação de entrada de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Tratamento de erros
ID: NIST SP 800-53 Rev. 5 SI-11 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1724 – Tratamento de erro | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| Controle Gerenciado da Microsoft 1725 – Tratamento de erro | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Gerenciamento de informações e retenção
ID: NIST SP 800-53 Rev. 5 SI-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle Gerenciado da Microsoft 1726 – Manipulação e retenção de saída de informações | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
Proteção de memória
ID: NIST SP 800-53 Rev. 5 SI-16 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| Controle Gerenciado da Microsoft 1727 – Proteção de memória | A Microsoft implementa esse controle de Integridade do Sistema e de Informações | auditoria | 1.0.0 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 1.1.1 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.