Definições de políticas incorporadas do Azure Policy
Esta página é um índice das definições de política internas da Política do Azure.
O nome de cada link interno para a definição de política no portal do Azure. Use o link na coluna Origem para exibir a fonte no repositório GitHub da Política do Azure. Os built-ins são agrupados pela propriedade category em metadados. Para ir para uma categoria específica, use Ctrl-F para o recurso de pesquisa do seu navegador.
API para FHIR
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A API do Azure para FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados em repouso | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados na API do Azure para FHIR quando isso for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também oferecem criptografia dupla, adicionando uma segunda camada de criptografia à padrão feita com chaves gerenciadas por serviço. | auditoria, Auditoria, desativado, Desativado | 1.1.0 |
| A API do Azure para FHIR deve usar o link privado | A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. | Auditoria, Desativado | 1.0.0 |
| O CORS não deve permitir que todos os domínios acessem sua API para FHIR | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem sua API para FHIR. Para proteger sua API para FHIR, remova o acesso para todos os domínios e defina explicitamente os domínios permitidos para se conectar. | auditoria, Auditoria, desativado, Desativado | 1.1.0 |
Gestão de API
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As APIs de gerenciamento de API devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS. | Auditar, Desabilitar, Negar | 2.0.2 |
| As chamadas de gerenciamento de API para back-ends de API devem ser autenticadas | As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica a back-ends do Service Fabric. | Auditar, Desabilitar, Negar | 1.0.1 |
| As chamadas de gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome | Para melhorar a segurança da API, o Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome. | Auditar, Desabilitar, Negar | 1.0.2 |
| O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve ser habilitado | A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do seu serviço. | Auditar, Desabilitar, Negar | 1.0.2 |
| A versão mínima da API de Gerenciamento de API deve ser definida como 2019-12-01 ou superior | Para evitar que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. | Auditoria, Negar, Desativado | 1.0.1 |
| Os valores nomeados do segredo do Gerenciamento de API devem ser armazenados no Cofre de Chaves do Azure | Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou fazendo referência a segredos no Cofre de Chaves do Azure. Para melhorar a segurança do Gerenciamento de API e segredos, faça referência a valores nomeados de segredo do Cofre de Chaves do Azure. O Azure Key Vault dá suporte a gerenciamento de acesso granular e políticas de rotação de segredos. | Auditar, Desabilitar, Negar | 1.0.2 |
| O serviço de Gerenciamento de API deve usar uma SKU que ofereça suporte a redes virtuais | Com SKUs suportados de Gerenciamento de API, a implantação do serviço em uma rede virtual desbloqueia recursos avançados de rede e segurança de Gerenciamento de API, o que proporciona maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://aka.ms/apimvnet. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
| O Gerenciamento de API deve desabilitar o acesso de rede pública aos pontos de extremidade de configuração do serviço | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados. | AuditIfNotExists, desativado | 1.0.1 |
| O Gerenciamento de API deve ter a autenticação de nome de usuário e senha desabilitada | Para proteger melhor o portal do desenvolvedor, a autenticação de nome de usuário e senha no Gerenciamento de API deve ser desabilitada. Configure a autenticação do usuário por meio dos provedores de identidade do Azure AD ou do Azure AD B2C e desabilite a autenticação padrão de nome de usuário e senha. | Auditoria, Desativado | 1.0.1 |
| As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditar, Desabilitar, Negar | 1.1.0 |
| A versão da plataforma de Gerenciamento de API do Azure deve ser stv2 | A versão da plataforma de computação stv1 do Azure API Management será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar serviços de Gerenciamento de API para desabilitar o acesso a pontos de extremidade de configuração de serviço público de Gerenciamento de API | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados. | DeployIfNotExists, desativado | 1.1.0 |
| Modificar o Gerenciamento de API para desabilitar a autenticação de nome de usuário e senha | Para proteger melhor as contas de usuário do portal do desenvolvedor e suas credenciais, configure a autenticação do usuário por meio dos provedores de identidade do Azure AD ou do Azure AD B2C e desabilite a autenticação padrão de nome de usuário e senha. | Modificar | 1.1.0 |
App Configuration
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A configuração do aplicativo deve desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
| A Configuração do Aplicativo deve usar uma chave gerenciada pelo cliente | As chaves gerenciadas pelo cliente fornecem proteção de dados aprimorada, permitindo que você gerencie suas chaves de criptografia. Isso geralmente é necessário para atender aos requisitos de conformidade. | Auditoria, Negar, Desativado | 1.1.0 |
| A Configuração do Aplicativo deve usar uma SKU que suporte link privado | Ao usar uma SKU com suporte, o Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
| A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
| As lojas de configuração de aplicativos devem ter os métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que as lojas de Configuração de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2161954. | Auditoria, Negar, Desativado | 1.0.1 |
| Configurar repositórios de Configuração de Aplicativo para desabilitar métodos de autenticação local | Desative os métodos de autenticação local para que suas lojas de Configuração de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2161954. | Modificar, Desativado | 1.0.1 |
| Configurar a configuração do aplicativo para desabilitar o acesso à rede pública | Desative o acesso à rede pública para a Configuração do Aplicativo para que ele não seja acessível pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Modificar, Desativado | 1.0.0 |
| Configurar zonas DNS privadas para pontos de extremidade privados conectados à Configuração do Aplicativo | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver instâncias de configuração do aplicativo. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar pontos de extremidade privados para Configuração de Aplicativo | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
Plataforma de aplicativos
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Auditar instâncias do Azure Spring Cloud onde o rastreio distribuído não está ativado | As ferramentas de rastreamento distribuído no Azure Spring Cloud permitem depurar e monitorar as complexas interconexões entre microsserviços em um aplicativo. As ferramentas de rastreio distribuído devem estar ativadas e num estado íntegro. | Auditoria, Desativado | 1.0.0-pré-visualização |
| Azure Spring Cloud deve usar injeção de rede | As instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite o Azure Spring Cloud para interagir com sistemas em data centers locais ou com o serviço do Azure em outras redes virtuais. 3. Capacite os clientes para controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. | Auditar, Desabilitar, Negar | 1.2.0 |
Serviço de Aplicações
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os slots de aplicativo do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditoria, Negar, Desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desabilitar, Negar | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativo, como a extração de imagens de contêiner e a montagem do armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como true habilita o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e que os pontos de extremidade de serviço sejam privados. Para mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Auditoria, Negar, Desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por predefinição, se utilizarmos a integração regional da Rede Virtual do Azure (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Usar a API para definir 'vnetRouteAllEnabled' como true habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo Serviço de Aplicativo. | Auditoria, Negar, Desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações FTP | A desativação de métodos de autenticação local para implantações de FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.4 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 1.0.1 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 2.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo do serviço de aplicativo, https://go.microsoft.com/fwlink/?linkid=2151594consulte . | Auditoria, Desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo que usam Java devem usar uma 'versão Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada | Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditoria, Negar, Desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desabilitar, Negar | 1.1.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativo, como a extração de imagens de contêiner e a montagem do armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como true habilita o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e que os pontos de extremidade de serviço sejam privados. Para mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Auditoria, Negar, Desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por predefinição, se utilizarmos a integração regional da Rede Virtual do Azure (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Usar a API para definir 'vnetRouteAllEnabled' como true habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo Serviço de Aplicativo. | Auditoria, Negar, Desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Web. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações FTP | A desativação de métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar uma SKU que ofereça suporte a link privado | Com SKUs suportados, o Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para aplicativos, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | Auditoria, Negar, Desativado | 4.1.0 |
| Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo do serviço de aplicativo, https://go.microsoft.com/fwlink/?linkid=2151594consulte . | Auditoria, Desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Aplicativo, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | AuditIfNotExists, desativado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo que usam Java devem usar uma 'versão Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada | Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desativado | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 4.1.0 |
| Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela Internet pública | Para garantir que os aplicativos implantados em um Ambiente do Serviço de Aplicativo não estejam acessíveis pela Internet pública, deve-se implantar o Ambiente do Serviço de Aplicativo com um endereço IP na rede virtual. Para definir o endereço IP como um IP de rede virtual, o Ambiente do Serviço de Aplicativo deve ser implantado com um balanceador de carga interno. | Auditoria, Negar, Desativado | 3.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser configurado com pacotes de codificação TLS mais fortes | Os dois pacotes de codificação mais mínimos e mais fortes necessários para que o Ambiente do Serviço de Aplicativo funcione corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Auditoria, Desativado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser provisionado com as versões mais recentes | Permita apenas que o Ambiente do Serviço de Aplicativo versão 2 ou versão 3 seja provisionado. As versões mais antigas do Ambiente do Serviço de Aplicativo exigem gerenciamento manual dos recursos do Azure e têm maiores limitações de dimensionamento. | Auditoria, Negar, Desativado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | Definir InternalEncryption como true criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interna entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditoria, Desativado | 1.0.1 |
| O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado | TLS 1.0 e 1.1 são protocolos desatualizados que não suportam algoritmos criptográficos modernos. A desativação do tráfego TLS 1.0 e 1.1 de entrada ajuda a proteger aplicativos em um Ambiente do Serviço de Aplicativo. | Auditoria, Negar, Desativado | 2.0.1 |
| Configurar slots de aplicativo do Serviço de Aplicativo para desabilitar a autenticação local para implantações FTP | A desativação de métodos de autenticação local para implantações de FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar slots de aplicativo do Serviço de Aplicativo para desabilitar a autenticação local para sites SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar slots de aplicativo do Serviço de Aplicativo para desabilitar o acesso à rede pública | Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.1.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para implantações de FTP | A desativação de métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCM | A desativação de métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública | Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.1.0 |
| Configurar aplicativos do Serviço de Aplicativo para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar aplicativos do Serviço de Aplicativo para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar aplicativos do Serviço de Aplicativo para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula uma rede virtual a um Serviço de Aplicativo. Saiba mais em: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar aplicativos do Serviço de Aplicativo para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar slots do aplicativo Function para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.1.0 |
| Configurar slots de aplicativo do Function para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar slots do aplicativo Function para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo Function. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar slots de aplicativo Function para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar aplicativos do Function para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.1.0 |
| Configurar aplicativos do Function para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar aplicativos do Function para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar aplicativos do Function para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.0.1 |
| Os slots de aplicativos de função devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de função. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desabilitar, Negar | 1.0.0 |
| Os slots de aplicativo de função devem ter Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 2.0.0 |
| Os slots de aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo de função devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo Function deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo do serviço de aplicativo, https://go.microsoft.com/fwlink/?linkid=2151594consulte . | Auditoria, Desativado | 1.0.0 |
| Os slots de aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo de função que usam Java devem usar uma 'versão Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicativo de função que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de função. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Desabilitar, Negar | 1.0.0 |
| Os aplicativos de função devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Função ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Função. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem ter os Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo Function deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar conteúdo do serviço de aplicativo, https://go.microsoft.com/fwlink/?linkid=2151594consulte . | Auditoria, Desativado | 3.0.0 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos de função que usam Java devem usar uma 'versão Java' especificada | Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desativado | 4.1.0 |
Atestado
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os provedores de atestado do Azure devem desabilitar o acesso à rede pública | Para melhorar a segurança do Serviço de Atestado do Azure, certifique-se de que ele não esteja exposto à Internet pública e só possa ser acessado a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito no aka.ms/azureattestation. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Os provedores de atestado do Azure devem usar pontos de extremidade privados | Os pontos de extremidade privados fornecem uma maneira de conectar os provedores de Atestado do Azure aos seus recursos do Azure sem enviar tráfego pela Internet pública. Ao impedir o acesso público, os terminais privados ajudam a proteger contra o acesso anónimo indesejado. | AuditIfNotExists, desativado | 1.0.0 |
Automanage
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Uma identidade gerida deve ser ativada nas suas máquinas | Os recursos gerenciados pelo Automanage devem ter uma identidade gerenciada. | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A atribuição de perfil de configuração de gestão automática deve ser conforme | Os recursos gerenciados pelo Automanage devem ter um status de Conformant ou ConformantCorrected. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O Diagnóstico de Arranque deve ser ativado em máquinas virtuais | As máquinas virtuais do Azure devem ter os diagnósticos de inicialização habilitados. | Auditoria, Desativado | 1.0.0-pré-visualização |
| Configurar máquinas virtuais a serem integradas ao Azure Automanage | O Azure Automanage registra, configura e monitora máquinas virtuais com práticas recomendadas, conforme definido no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Gerenciamento Automático ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 2.4.0 |
| Configurar máquinas virtuais a serem integradas ao Azure Automanage com Perfil de Configuração Personalizado | O Azure Automanage registra, configura e monitora máquinas virtuais com práticas recomendadas, conforme definido no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Automanage com seu próprio Perfil de Configuração personalizado ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 1.4.0 |
| O Hotpatch deve ser habilitado para VMs do Windows Server Azure Edition | Minimize as reinicializações e instale atualizações rapidamente com o hotpatch. Saiba mais em https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Auditoria, Negar, Desativado | 1.0.0 |
Automatização
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A Conta de Automação deve ter Identidade Gerenciada | Use Identidades Gerenciadas como o método recomendado para autenticação com recursos do Azure a partir dos runbooks. A identidade gerenciada para autenticação é mais segura e elimina a sobrecarga de gerenciamento associada ao uso da Conta RunAs no código do runbook. | Auditoria, Desativado | 1.0.0 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de automação devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos recursos da sua conta de automação criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Auditoria, Negar, Desativado | 1.0.0 |
| A conta de Automação do Azure deve ter o método de autenticação local desabilitado | A desativação de métodos de autenticação local melhora a segurança, garantindo que as contas de Automação do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar a conta de Automação do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que suas contas de Automação do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. | Modificar, Desativado | 1.0.0 |
| Configurar contas de Automação do Azure para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para a conta de Automação do Azure para que ela não seja acessível pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos recursos da sua conta de automação criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. | Modificar, Desativado | 1.0.0 |
| Configurar contas de Automação do Azure com zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Você precisa da zona DNS privada configurada corretamente para se conectar à conta de Automação do Azure por meio do Azure Private Link. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar conexões de ponto de extremidade privadas em contas de Automação do Azure | As conexões de ponto de extremidade privado permitem uma comunicação segura habilitando a conectividade privada para contas de Automação do Azure sem a necessidade de endereços IP públicos na origem ou no destino. Saiba mais sobre pontos de extremidade privados na Automação do Azure em https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, desativado | 1.0.0 |
| As conexões de ponto de extremidade privado em contas de automação devem ser habilitadas | As conexões de ponto de extremidade privado permitem uma comunicação segura habilitando a conectividade privada para contas de automação sem a necessidade de endereços IP públicos na origem ou no destino. Saiba mais sobre pontos de extremidade privados na Automação do Azure em https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, desativado | 1.0.0 |
Azure Active Directory
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os domínios gerenciados dos Serviços de Domínio Ative Directory do Azure devem usar apenas o modo TLS 1.2 | Use o modo somente TLS 1.2 para seus domínios gerenciados. Por padrão, os Serviços de Domínio do Azure AD permitem o uso de cifras como NTLM v1 e TLS v1. Essas cifras podem ser necessárias para alguns aplicativos legados, mas são consideradas fracas e podem ser desabilitadas se você não precisar delas. Quando o modo somente TLS 1.2 estiver habilitado, qualquer cliente que faça uma solicitação que não esteja usando o TLS 1.2 falhará. Saiba mais em https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Auditoria, Negar, Desativado | 1.1.0 |
Serviços de IA do Azure
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desativado | 1.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite logs para recursos de serviços de IA do Azure. Isso permite que você recrie trilhas de atividade para fins de investigação, quando ocorre um incidente de segurança ou sua rede é comprometida | AuditIfNotExists, desativado | 1.0.0 |
Azure Arc
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Negar a criação ou modificação de licenças de Extended Security Updates (ESUs). | Esta política permite restringir a criação ou modificação de licenças ESU para máquinas Windows Server 2012 Arc. Para mais detalhes sobre preços, por favor visite https://aka.ms/ArcWS2012ESUPricing | Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Habilite a licença ESUs (Extended Security Updates) para manter as máquinas Windows 2012 protegidas após o fim do ciclo de vida de suporte. | Habilite a licença ESUs (Extended Security Updates) para manter as máquinas Windows 2012 protegidas mesmo após o fim do ciclo de vida de suporte. Saiba como se preparar para fornecer Atualizações de Segurança Estendidas para o Windows Server 2012 por meio do AzureArc, visite https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Para mais detalhes sobre preços, por favor visite https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| Os escopos de link privado do Azure Arc devem ser configurados com um ponto de extremidade privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Escopos de Link Privado do Azure Arc, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Auditoria, Desativado | 1.0.0 |
| Os escopos de link privado do Azure Arc devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que os recursos do Azure Arc não possam se conectar por meio da Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos do Azure Arc. Saiba mais em: https://aka.ms/arc/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| Os clusters kubernetes habilitados para Azure Arc devem ser configurados com um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| Os servidores habilitados para Azure Arc devem ser configurados com um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar escopos de link privado do Azure Arc para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu Escopo de Link Privado do Azure Arc para que os recursos associados do Azure Arc não possam se conectar aos serviços do Azure Arc pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/arc/privatelink. | Modificar, Desativado | 1.0.0 |
| Configurar escopos de link privado do Azure Arc para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para os Escopos de Link Privado do Azure Arc. Saiba mais em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar escopos de link privado do Azure Arc com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para os Escopos de Link Privado do Azure Arc, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar clusters Kubernetes habilitados para Azure Arc para usar um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Modificar, Desativado | 1.0.0 |
| Configurar servidores habilitados para Azure Arc para usar um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Modificar, Desativado | 1.0.0 |
Azure Data Explorer
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todo o administrador de banco de dados no Azure Data Explorer deve ser desabilitado | Desative todas as funções de administrador de banco de dados para restringir a concessão de função de usuário altamente privilegiado/administrativo. | Auditoria, Negar, Desativado | 1.0.0 |
| O cluster do Azure Data Explorer deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu cluster do Azure Data Explorer, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Auditoria, Desativado | 1.0.0 |
| A criptografia do Azure Data Explorer em repouso deve usar uma chave gerenciada pelo cliente | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seu cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso geralmente é aplicável a clientes com requisitos especiais de conformidade e requer um Cofre de Chaves para gerenciar as chaves. | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Data Explorer deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportados, o Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para aplicativos, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar clusters do Azure Data Explorer com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o Azure Data Explorer, você pode reduzir os riscos de vazamento de dados. Saiba mais em: [ServiceSpecificAKA.ms]. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Data Explorer para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública desliga a conectividade pública de forma que o Azure Data Explorer só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso à rede pública para todos os clusters do Azure Data Explorer. | Modificar, Desativado | 1.0.0 |
| A criptografia de disco deve ser habilitada no Azure Data Explorer | Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. | Auditoria, Negar, Desativado | 2.0.0 |
| A criptografia dupla deve ser habilitada no Azure Data Explorer | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 2.0.0 |
| O acesso à rede pública no Azure Data Explorer deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que o Azure Data Explorer só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.0.0 |
| A injeção de rede virtual deve ser habilitada para o Azure Data Explorer | Proteja seu perímetro de rede com injeção de rede virtual que permite aplicar regras de grupo de segurança de rede, conectar-se no local e proteger suas fontes de conexão de dados com pontos de extremidade de serviço. | Auditoria, Negar, Desativado | 1.0.0 |
Azure Databricks
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os Clusters do Azure Databricks devem desativar o IP público | A desativação do IP público de clusters no Azure Databricks Workspaces melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Saiba mais em: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Auditoria, Negar, Desativado | 1.0.1 |
| Os Espaços de Trabalho do Azure Databricks devem estar em uma rede virtual | As Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Espaços de Trabalho do Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Saiba mais em: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Auditoria, Negar, Desativado | 1.0.2 |
| Os espaços de trabalho do Azure Databricks devem ser SKU Premium que ofereça suporte a recursos como link privado, chave gerenciada pelo cliente para criptografia | Permita apenas o espaço de trabalho Databricks com Sku Premium que sua organização possa implantar para oferecer suporte a recursos como Private Link, chave gerenciada pelo cliente para criptografia. Saiba mais em: https://aka.ms/adbpe. | Auditoria, Negar, Desativado | 1.0.1 |
| Os Espaços de Trabalho do Azure Databricks devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Auditoria, Negar, Desativado | 1.0.1 |
| Azure Databricks Workspaces deve usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Databricks, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. | Auditoria, Desativado | 1.0.2 |
| Configurar o espaço de trabalho do Azure Databricks para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os espaços de trabalho do Azure Databricks. Saiba mais em: https://aka.ms/adbpe. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar espaços de trabalho do Azure Databricks com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o Azure Databricks Workspaces, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. | DeployIfNotExists, desativado | 1.0.2 |
| Definir configurações de diagnóstico para espaços de trabalho do Azure Databricks para espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico para os Espaços de Trabalho do Azure Databricks para transmitir logs de recursos para um Espaço de Trabalho do Log Analytics quando qualquer Espaço de Trabalho do Azure Databricks que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.1 |
| Os logs de recursos nos Espaços de Trabalho do Azure Databricks devem ser habilitados | Os logs de recursos permitem a recriação de trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desativado | 1.0.1 |
Centro de Hardware do Azure Edge
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os dispositivos do Centro de Hardware de Borda do Azure devem ter suporte a criptografia dupla habilitado | Certifique-se de que os dispositivos encomendados a partir do Centro de Hardware de Borda do Azure têm suporte de criptografia dupla habilitado, para proteger os dados em repouso no dispositivo. Esta opção adiciona uma segunda camada de encriptação de dados. | Auditoria, Negar, Desativado | 2.0.0 |
Azure Load Testing
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O recurso de teste de carga do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente (CMK) para gerenciar a criptografia em repouso para seu recurso de Teste de Carga do Azure. Por padrão, a criptografia é feita usando chaves gerenciadas pelo serviço, as chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Auditoria, Negar, Desativado | 1.0.0 |
Azure Purview
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas do Azure Purview devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para suas contas do Azure Purview em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/purview-private-link. | Auditoria, Desativado | 1.0.0 |
Azure Stack Edge
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados em repouso no dispositivo, certifique-se de que está duplamente encriptado, que o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: criptografia BitLocker XTS-AES de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Azure Update Manager
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a verificação periódica de atualizações do sistema ausentes em servidores habilitados para azure Arc | Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em servidores habilitados para Azure Arc. Você pode controlar o escopo da atribuição de acordo com a assinatura da máquina, grupo de recursos, local ou tag. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modificar | 2.2.1 |
| Configurar a verificação periódica de atualizações do sistema ausentes em máquinas virtuais do Azure | Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em máquinas virtuais nativas do Azure. Você pode controlar o escopo da atribuição de acordo com a assinatura da máquina, grupo de recursos, local ou tag. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modificar | 4.8.0 |
| As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditoria, Negar, Desativado | 3.7.0 |
| Agendar atualizações recorrentes usando o Azure Update Manager | Você pode usar o Azure Update Manager no Azure para salvar agendas de implantação recorrentes para instalar atualizações do sistema operacional para suas máquinas Windows Server e Linux no Azure, em ambientes locais e em outros ambientes de nuvem conectados usando servidores habilitados para Azure Arc. Esta política também alterará o modo de patch da Máquina Virtual do Azure para 'AutomaticByPlatform'. Ver mais: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, desativado | 3.10.0 |
Backup
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: A Extensão de Backup do Azure deve ser instalada em clusters AKS | Garanta a instalação de proteção da extensão de backup em seus clusters AKS para aproveitar o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados segura e nativa da nuvem para clusters AKS | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A Cópia de Segurança do Azure deve estar ativada para clusters AKS | Garanta a proteção dos seus Clusters AKS ativando o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados segura e nativa da nuvem para clusters AKS. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O Backup do Azure deve ser habilitado para Blobs em Contas de Armazenamento | Garanta a proteção de suas Contas de Armazenamento habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A Cópia de Segurança do Azure deve estar ativada para Managed Disks | Garanta a proteção de seus Discos Gerenciados habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os Cofres de Backup do Azure devem utilizar chaves geridas pelo cliente para encriptar dados de cópia de segurança. Também uma opção para aplicar a criptografia de infra. | Esta política segue o 'efeito' se as Configurações de Criptografia estiverem habilitadas para cofres de backup no escopo. Além disso, opção para verificar se o Backup Vault também tem a criptografia de infraestrutura habilitada. Saiba mais em https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Observe que, quando o efeito 'Negar' é usado, é necessário ativar as Configurações de criptografia nos cofres de backup existentes para permitir que outras operações de atualização no cofre sejam realizadas. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os cofres dos Serviços de Recuperação do Azure devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o cofre dos serviços de recuperação não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do cofre de serviços de recuperação. Saiba mais em: https://aka.ms/AB-PublicNetworkAccess-Deny. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os cofres dos Serviços de Recuperação do Azure devem utilizar chaves geridas pelo cliente para encriptar dados de cópia de segurança | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os cofres dos Serviços de Recuperação do Azure devem utilizar uma ligação privada para cópia de segurança | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para os cofres dos Serviços de Recuperação do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/AB-PrivateEndpoints. | Auditoria, Desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar os cofres dos Serviços de Recuperação do Azure para desativar o acesso à rede pública | Desative o acesso à rede pública para o cofre de serviços de recuperação para que ele não esteja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/AB-PublicNetworkAccess-Deny. | Modificar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configure o backup para blobs em contas de armazenamento com uma determinada tag para um cofre de backup existente na mesma região | Imponha o backup de blobs em todas as contas de armazenamento que contenham uma determinada tag em um cofre de backup central. Isso pode ajudá-lo a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, veja https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configure o backup de blob para todas as contas de armazenamento que não contêm uma determinada tag para um cofre de backup na mesma região | Imponha o backup de blobs em todas as contas de armazenamento que não contenham uma determinada tag em um cofre de backup central. Isso pode ajudá-lo a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, veja https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar cofres dos Serviços de Recuperação para utilizar zonas DNS privadas para cópia de segurança | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver no cofre dos Serviços de Recuperação. Saiba mais em: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: Configurar os cofres dos Serviços de Recuperação para utilizar terminais privados para cópia de segurança | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para cofres dos Serviços de Recuperação, você pode reduzir os riscos de vazamento de dados. Observe que seus cofres precisam atender a determinados pré-requisitos para serem qualificados para configuração de ponto final privado. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Desativar o Restauro de Subscrição Cruzada para cofres dos Serviços de Recuperação do Azure | Desativar ou Desativar permanentementeDesativar a restauração entre assinaturas para o cofre dos Serviços de Recuperação para que os destinos de restauração não possam estar em uma assinatura diferente da assinatura do cofre. Saiba mais em: https://aka.ms/csrenhancements. | Modificar, Desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Desativar o restauro entre subscrições para cofres de cópia de segurança | Desativar ou Desativar permanentementeDesativar a restauração entre assinaturas para o cofre de backup para que os destinos de restauração não possam estar em uma assinatura diferente da assinatura do cofre. Saiba mais em: https://aka.ms/csrstatechange. | Modificar, Desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Não permita a criação de cofres dos Serviços de Recuperação de redundância de armazenamento escolhida. | Os cofres dos Serviços de Recuperação podem ser criados com qualquer uma das três opções atuais de redundância de armazenamento, a saber, armazenamento com redundância local, armazenamento com redundância de zona e armazenamento com redundância geográfica. Se as políticas em sua organização exigirem que você bloqueie a criação de cofres que pertencem a um determinado tipo de redundância, você poderá conseguir o mesmo usando esta política do Azure. | Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A imutabilidade tem de estar ativada para cofres de cópia de segurança | Esta política audita se a propriedade vaults imutáveis está habilitada para cofres de backup no escopo. Isso ajuda a proteger seus dados de backup de serem excluídos antes do vencimento pretendido. Saiba mais em https://aka.ms/AB-ImmutableVaults. | Auditoria, Desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: A imutabilidade tem de estar ativada para os cofres dos Serviços de Recuperação | Esta política audita se a propriedade vaults imutáveis está habilitada para vaults dos Serviços de Recuperação no escopo. Isso ajuda a proteger seus dados de backup de serem excluídos antes do vencimento pretendido. Saiba mais em https://aka.ms/AB-ImmutableVaults. | Auditoria, Desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: A Autorização Multiutilizador (MUA) tem de estar ativada para Cofres de Cópia de Segurança. | Esta política audita se a Autorização Multiusuário (MUA) está habilitada para Cofres de Backup. O MUA ajuda a proteger seus cofres de backup adicionando uma camada adicional de proteção a operações críticas. Para saber mais, visite https://aka.ms/mua-for-bv. | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A Autorização Multiutilizador (MUA) tem de estar ativada para os Cofres dos Serviços de Recuperação. | Esta política audita se a Autorização Multiusuário (MUA) está habilitada para os Cofres dos Serviços de Recuperação. O MUA ajuda a proteger seus cofres de serviços de recuperação adicionando uma camada adicional de proteção a operações críticas. Para saber mais, visite https://aka.ms/MUAforRSV. | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A eliminação suave tem de estar ativada para os Cofres dos Serviços de Recuperação. | Esta política audita se a exclusão suave está habilitada para os Cofres dos Serviços de Recuperação no escopo. A exclusão suave pode ajudá-lo a recuperar seus dados, mesmo depois de excluídos. Saiba mais em https://aka.ms/AB-SoftDelete. | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A eliminação suave deve ser ativada para os Cofres de Cópia de Segurança | Esta política audita se a exclusão suave está habilitada para cofres de backup no escopo. A exclusão suave pode ajudá-lo a recuperar seus dados depois que eles foram excluídos. Saiba mais em https://aka.ms/AB-SoftDelete | Auditoria, Desativado | 1.0.0-pré-visualização |
| O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
| Configurar o backup em máquinas virtuais com uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Imponha o backup para todas as máquinas virtuais implantando um cofre de serviços de recuperação no mesmo local e grupo de recursos que a máquina virtual. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Opcionalmente, você pode incluir máquinas virtuais contendo uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.2.0 |
| Configurar o backup em máquinas virtuais com uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup para todas as máquinas virtuais fazendo backup delas em um cofre de serviços de recuperação central existente no mesmo local e assinatura da máquina virtual. Fazer isso é útil quando há uma equipe central em sua organização gerenciando backups para todos os recursos em uma assinatura. Opcionalmente, você pode incluir máquinas virtuais contendo uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.2.0 |
| Configurar o backup em máquinas virtuais sem uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Imponha o backup para todas as máquinas virtuais implantando um cofre de serviços de recuperação no mesmo local e grupo de recursos que a máquina virtual. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Opcionalmente, você pode excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.2.0 |
| Configure o backup em máquinas virtuais sem uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup para todas as máquinas virtuais fazendo backup delas em um cofre de serviços de recuperação central existente no mesmo local e assinatura da máquina virtual. Fazer isso é útil quando há uma equipe central em sua organização gerenciando backups para todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.2.0 |
| Implante Configurações de diagnóstico para o Recovery Services Vault no espaço de trabalho do Log Analytics para categorias específicas de recursos. | Implante as Configurações de Diagnóstico do Cofre dos Serviços de Recuperação para transmitir para o espaço de trabalho do Log Analytics para categorias específicas de Recursos. Se qualquer uma das categorias específicas do recurso não estiver habilitada, uma nova configuração de diagnóstico será criada. | deployIfNotExists | 1.0.2 |
Batch
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta Batch. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. | Auditoria, Negar, Desativado | 1.0.1 |
| Os pools de Lotes do Azure devem ter a criptografia de disco habilitada | Habilitar a criptografia de disco do Lote do Azure garante que os dados sejam sempre criptografados em repouso no nó de computação do Lote do Azure. Saiba mais sobre a criptografia de disco no Batch em https://docs.microsoft.com/azure/batch/disk-encryption. | Auditar, Desabilitar, Negar | 1.0.0 |
| Contas em lote devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que as contas em lote exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/batch/auth. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar contas em lote para desabilitar a autenticação local | Desative os métodos de autenticação de local para que suas contas em lote exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/batch/auth. | Modificar, Desativado | 1.0.0 |
| Configurar contas em lote para desabilitar o acesso à rede pública | A desativação do acesso à rede pública em uma conta Batch melhora a segurança, garantindo que sua conta Batch só possa ser acessada a partir de um ponto de extremidade privado. Saiba mais sobre como desativar o acesso à rede pública em https://docs.microsoft.com/azure/batch/private-connectivity. | Modificar, Desativado | 1.0.0 |
| Configurar contas em lote com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para contas em lote, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar zonas DNS privadas para pontos de extremidade privados que se conectam a contas em lote | Os registos DNS privados permitem ligações privadas a terminais privados. As conexões de ponto de extremidade privado permitem uma comunicação segura, habilitando a conectividade privada para contas em lote sem a necessidade de endereços IP públicos na origem ou no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Batch, consulte https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, desativado | 1.0.0 |
| As regras de alerta de métricas devem ser configuradas em contas de lote | Configuração de auditoria de regras de alerta de métrica na conta de lote para habilitar a métrica necessária | AuditIfNotExists, desativado | 1.0.0 |
| As conexões de ponto de extremidade privado em contas em lote devem ser habilitadas | As conexões de ponto de extremidade privado permitem uma comunicação segura, habilitando a conectividade privada para contas em lote sem a necessidade de endereços IP públicos na origem ou no destino. Saiba mais sobre endpoints privados no Batch em https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, desativado | 1.0.0 |
| O acesso à rede pública deve ser desativado para contas em lote | A desativação do acesso à rede pública em uma conta Batch melhora a segurança, garantindo que sua conta Batch só possa ser acessada a partir de um ponto de extremidade privado. Saiba mais sobre como desativar o acesso à rede pública em https://docs.microsoft.com/azure/batch/private-connectivity. | Auditoria, Negar, Desativado | 1.0.0 |
| Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Serviço de Bot
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O ponto de extremidade do Serviço de Bot deve ser um URI HTTPS válido | Os dados podem ser adulterados durante a transmissão. Existem protocolos que disponibilizam encriptação para resolver problemas de utilização indevida e adulteração. Para garantir que seus bots estejam se comunicando apenas por canais criptografados, defina o ponto de extremidade como um URI HTTPS válido. Isso garante que o protocolo HTTPS seja usado para criptografar seus dados em trânsito e também seja frequentemente um requisito para conformidade com padrões regulatórios ou do setor. Por favor, visite: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente | O Serviço de Bot do Azure criptografa automaticamente seu recurso para proteger seus dados e cumprir os compromissos organizacionais de segurança e conformidade. Por padrão, as chaves de criptografia gerenciadas pela Microsoft são usadas. Para maior flexibilidade na gestão de chaves ou no controlo do acesso à sua subscrição, selecione chaves geridas pelo cliente, também conhecidas como traga a sua própria chave (BYOK). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| O Serviço de Bot deve ter o modo isolado ativado | Os bots devem ser definidos para o modo 'apenas isolado'. Essa configuração configura os canais do Serviço de Bot que exigem que o tráfego na Internet pública seja desativado. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| O Serviço de Bot deve ter os métodos de autenticação local desativados | A desativação de métodos de autenticação local melhora a segurança, garantindo que um bot use o AAD exclusivamente para autenticação. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço de Bot deve ter o acesso à rede pública desativado | Os bots devem ser definidos para o modo 'apenas isolado'. Essa configuração configura os canais do Serviço de Bot que exigem que o tráfego na Internet pública seja desativado. | Auditoria, Negar, Desativado | 1.0.0 |
| Os recursos do BotService devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para seu recurso BotService, os riscos de vazamento de dados são reduzidos. | Auditoria, Desativado | 1.0.0 |
| Configurar recursos do BotService para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos relacionados ao BotService. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos do BotService com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu recurso BotService, você pode reduzir os riscos de vazamento de dados. | DeployIfNotExists, desativado | 1.0.0 |
Cache
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Cache Redis do Azure deve desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o Cache Redis do Azure não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição do Cache Redis do Azure criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Auditoria, Negar, Desativado | 1.0.0 |
| O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar o Cache do Azure para Redis para desabilitar portas não SSL | Habilite somente conexões SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Modificar, Desativado | 1.0.0 |
| Configurar o Cache do Azure para Redis para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu recurso do Cache Redis do Azure para que ele não seja acessível pela Internet pública. Isso ajuda a proteger o cache contra riscos de vazamento de dados. | Modificar, Desativado | 1.0.0 |
| Configurar o Cache do Azure para Redis para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver no Cache do Azure para Redis. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Cache do Azure para Redis com pontos de extremidade privados | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seus recursos do Cache do Azure para Redis, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, desativado | 1.0.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
CDN
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os perfis do Azure Front Door devem usar a camada Premium que ofereça suporte a regras WAF gerenciadas e link privado | O Azure Front Door Premium suporta regras WAF geridas pelo Azure e ligação privada para origens do Azure suportadas. | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Front Door Standard e Premium deve estar executando a versão TLS mínima da versão 1.2 | Definir a versão mínima do TLS como 1.2 melhora a segurança, garantindo que seus domínios personalizados sejam acessados a partir de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois são fracas e não suportam algoritmos criptográficos modernos. | Auditoria, Negar, Desativado | 1.0.0 |
| Conectividade privada segura entre o Azure Front Door Premium e o Blob de Armazenamento do Azure ou o Serviço de Aplicativo do Azure | O link privado garante conectividade privada entre o AFD Premium e o Blob de Armazenamento do Azure ou o Serviço de Aplicativo do Azure pela rede de backbone do Azure, sem que o Blob de Armazenamento do Azure ou o Serviço de Aplicativo do Azure sejam expostos publicamente à Internet. | Auditoria, Desativado | 1.0.0 |
ChangeTrackingAndInventory
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preview]: Configure máquinas habilitadas para Linux Arc para serem associadas a uma regra de coleta de dados para ChangeTracking e inventário | Implante a Associação para vincular máquinas habilitadas para Linux Arc à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar máquinas habilitadas para Linux Arc para instalar o AMA para ChangeTracking e Inventory | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Linux Arc para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão se a região for suportada. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0-Pré-visualização |
| [Preview]: Configurar máquinas virtuais Linux para serem associadas a uma regra de coleta de dados para ChangeTracking e inventário | Implante a Associação para vincular máquinas virtuais Linux à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar VMs Linux para instalar o AMA para ChangeTracking e Inventory com identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais Linux para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.4.0-Pré-visualização |
| [Preview]: Configure o VMSS do Linux para ser associado a uma regra de coleta de dados para ChangeTracking e inventário | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual Linux à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configure o Linux VMSS para instalar o AMA para ChangeTracking e Inventory com identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual Linux para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0-Pré-visualização |
| [Visualização]: Configurar máquinas habilitadas para Windows Arc para serem associadas a uma Regra de Coleta de Dados para ChangeTracking e Inventário | Implante a Associação para vincular máquinas habilitadas para Windows Arc à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar máquinas habilitadas para Windows Arc para instalar o AMA para ChangeTracking e Inventory | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Windows Arc para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar Máquinas Virtuais do Windows para serem associadas a uma Regra de Recolha de Dados para Controlo de Alterações e Inventário | Implante a Associação para vincular máquinas virtuais do Windows à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar VMs do Windows para instalar o AMA para ChangeTracking e Inventory com identidade gerida atribuída pelo utilizador | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais do Windows para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar o VMSS do Windows para ser associado a uma Regra de Recolha de Dados para o ChangeTracking e o Inventário | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual do Windows à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar o VMSS do Windows para instalar o AMA para ChangeTracking e Inventory com identidade gerida atribuída pelo utilizador | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual do Windows para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
Serviços Cognitivos
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas dos Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente | As chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados armazenados nos Serviços Cognitivos sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre chaves gerenciadas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. | Auditoria, Negar, Desativado | 2.1.0 |
| As contas dos Serviços Cognitivos devem usar uma identidade gerenciada | Atribuir uma identidade gerenciada à sua conta do Serviço Cognitivo ajuda a garantir uma autenticação segura. Essa identidade é usada por essa conta de serviço Cognitivo para se comunicar com outros serviços do Azure, como o Cofre da Chave do Azure, de forma segura, sem que você precise gerenciar credenciais. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente | Use o armazenamento de propriedade do cliente para controlar os dados armazenados em repouso nos Serviços Cognitivos. Para saber mais sobre o armazenamento de propriedade do cliente, visite https://aka.ms/cogsvc-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| Os Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.0 |
| Configurar contas dos Serviços Cognitivos para desativar métodos de autenticação local | Desative os métodos de autenticação local para que suas contas dos Serviços Cognitivos exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/cs/auth. | Modificar, Desativado | 1.0.0 |
| Configurar contas de Serviços Cognitivos para desativar o acesso à rede pública | Desative o acesso à rede pública para seu recurso de Serviços Cognitivos para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. | Desativado, Modificar | 3.0.0 |
| Configurar contas de Serviços Cognitivos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver as contas dos Serviços Cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas de Serviços Cognitivos com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, desativado | 3.0.0 |
Computação
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| SKUs de tamanho de máquina virtual permitido | Esta política permite especificar um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar. | Negar | 1.0.1 |
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
| Configurar a recuperação de desastres em máquinas virtuais habilitando a replicação por meio do Azure Site Recovery | As máquinas virtuais sem configurações de recuperação de desastres são vulneráveis a interrupções e outras interrupções. Se a máquina virtual ainda não tiver a recuperação de desastres configurada, isso iniciará o mesmo habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar recursos de acesso ao disco para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para um disco gerido. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos de acesso ao disco com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para recursos de acesso ao disco, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desative o acesso à rede pública para o recurso de disco gerenciado para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desativado | 2.0.0 |
| Implantar a extensão padrão Microsoft IaaSAntimalware para Windows Server | Esta política implanta uma extensão Microsoft IaaSAntimalware com uma configuração padrão quando uma VM não está configurada com a extensão antimalware. | deployIfNotExists | 1.1.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave comprometida podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Auditoria, Negar, Desativado | 1.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Auditoria, Desativado | 2.0.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | Exigir que um conjunto específico de conjuntos de criptografia de disco seja usado com discos gerenciados lhe dá controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Esta política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção antimalware da Microsoft. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | Esta política audita qualquer VM de servidor Windows sem a extensão Microsoft IaaSAntimalware implantada. | AuditIfNotExists, desativado | 1.1.0 |
| Somente extensões de VM aprovadas devem ser instaladas | Esta política rege as extensões de máquina virtual que não são aprovadas. | Auditoria, Negar, Desativado | 1.0.0 |
| OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 3.0.0 |
| Proteja seus dados com requisitos de autenticação ao exportar ou carregar para um disco ou instantâneo. | Quando a URL de exportação/carregamento é usada, o sistema verifica se o usuário tem uma identidade no Ative Directory do Azure e tem as permissões necessárias para exportar/carregar os dados. Consulte aka.ms/DisksAzureADAuth. | Modificar, Desativado | 1.0.0 |
| Exigir aplicação automática de patches de imagem do SO em conjuntos de dimensionamento de máquinas virtuais | Esta política impõe a ativação de patches automáticos de imagens do SO em Conjuntos de Dimensionamento de Máquinas Virtuais para manter sempre as Máquinas Virtuais seguras, aplicando com segurança os patches de segurança mais recentes todos os meses. | negar | 1.0.0 |
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Aplicativos de contêiner
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A autenticação deve ser habilitada em Aplicativos de Contêiner | A Autenticação de Aplicativos de Contêiner é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao Aplicativo de Contêiner ou autenticar aqueles que têm tokens antes de chegarem ao Aplicativo de Contêiner | AuditIfNotExists, desativado | 1.0.1 |
| Ambientes de aplicativos de contêiner devem usar injeção de rede | Os ambientes de Aplicativos de Contêiner devem usar a injeção de rede virtual para: 1.Isolar Aplicativos de Contêiner da Internet pública 2.Habilitar a integração de rede com recursos locais ou em outras redes virtuais do Azure 3.Obtenha um controle mais granular sobre o tráfego de rede que flui de e para o ambiente. | Auditar, Desabilitar, Negar | 1.0.2 |
| O aplicativo de contêiner deve ser configurado com montagem de volume | Impor o uso de montagens de volume para Aplicativos de Contêiner para garantir a disponibilidade da capacidade de armazenamento persistente. | Auditoria, Negar, Desativado | 1.0.1 |
| O ambiente de aplicativos de contêiner deve desabilitar o acesso à rede pública | Desative o acesso à rede pública para melhorar a segurança expondo o ambiente de Aplicativos de Contêiner por meio de um balanceador de carga interno. Isso elimina a necessidade de um endereço IP público e impede o acesso à Internet a todos os aplicativos de contêiner no ambiente. | Auditoria, Negar, Desativado | 1.0.1 |
| Os aplicativos de contêiner devem desabilitar o acesso à rede externa | Desative o acesso de rede externa aos seus Aplicativos de Contêiner impondo a entrada somente interna. Isso garantirá que a comunicação de entrada para Aplicativos de Contêiner seja limitada a chamadores dentro do ambiente de Aplicativos de Contêiner. | Auditoria, Negar, Desativado | 1.0.1 |
| Os aplicativos de contêiner só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. A desativação de 'allowInsecure' resultará no redirecionamento automático de solicitações de conexões HTTP para HTTPS para aplicativos de contêiner. | Auditoria, Negar, Desativado | 1.0.1 |
| A Identidade Gerenciada deve ser habilitada para Aplicativos de Contêiner | A imposição de identidade gerenciada garante que os Aplicativos de Contêiner possam se autenticar com segurança em qualquer recurso que ofereça suporte à autenticação do Azure AD | Auditoria, Negar, Desativado | 1.0.1 |
Instância de Contentor
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O grupo de contêineres da Instância de Contêiner do Azure deve ser implantado em uma rede virtual | Proteja a comunicação entre seus contêineres com as Redes Virtuais do Azure. Quando você especifica uma rede virtual, os recursos dentro da rede virtual podem se comunicar entre si de forma segura e privada. | Auditar, Desabilitar, Negar | 2.0.0 |
| O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditar, Desabilitar, Negar | 1.0.0 |
| Definir configurações de diagnóstico para grupos de contêineres no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico da Instância de Contêiner para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer instância de contêiner que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Instâncias de contentores
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar diagnósticos para grupo de contêineres para registrar espaço de trabalho de análise | Acrescenta o workspaceId e workspaceKey de análise de log especificados quando qualquer grupo de contêineres que esteja faltando esses campos é criado ou atualizado. Não modifica os campos de grupos de contêineres criados antes da aplicação desta política até que esses grupos de recursos sejam alterados. | Acrescentar, Desativado | 1.0.0 |
Container Registry
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configure registros de contêiner para desabilitar a autenticação anônima. | Desative o pull anônimo para o seu registro para que os dados não acessíveis pelo usuário não autenticado. A desativação de métodos de autenticação local, como usuário administrador, tokens de acesso com escopo de repositório e pull anônimo, melhora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desativado | 1.0.0 |
| Configure registros de contêiner para desabilitar a autenticação de token de audiência ARM. | Desative os tokens de audiência ARM do Azure Ative Directory para autenticação em seu registro. Somente os tokens de audiência do Registro de Contêiner do Azure (ACR) serão usados para autenticação. Isso garantirá que apenas tokens destinados ao uso no registro possam ser usados para autenticação. A desativação de tokens de audiência ARM não afeta a autenticação do usuário administrador ou dos tokens de acesso com escopo. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desativado | 1.0.0 |
| Configure registros de contêiner para desabilitar a conta de administrador local. | Desative a conta de administrador do seu registro para que ele não seja acessível pelo administrador local. A desativação de métodos de autenticação local, como usuário administrador, tokens de acesso com escopo de repositório e pull anônimo, melhora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desativado | 1.0.1 |
| Configurar registros de contêiner para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu recurso de Registro de Contêiner para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modificar, Desativado | 1.0.0 |
| Configure registros de contêiner para desabilitar o token de acesso com escopo do repositório. | Desative os tokens de acesso com escopo do repositório para seu registro para que os repositórios não sejam acessíveis por tokens. A desativação de métodos de autenticação local, como usuário administrador, tokens de acesso com escopo de repositório e pull anônimo, melhora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Modificar, Desativado | 1.0.0 |
| Configurar registros de contêiner para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver o seu Registo de Contentores. Saiba mais em: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar registros de contêiner com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seus recursos de registro de contêiner premium, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints e https://aka.ms/acr/private-link. | DeployIfNotExists, desativado | 1.0.0 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
| Os registros de contêiner devem ter a autenticação anônima desabilitada. | Desative o pull anônimo para seu registro para que os dados não sejam acessíveis por usuários não autenticados. A desativação de métodos de autenticação local, como usuário administrador, tokens de acesso com escopo de repositório e pull anônimo, melhora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Auditoria, Negar, Desativado | 1.0.0 |
| Os registros de contêiner devem ter a autenticação de token de audiência ARM desabilitada. | Desative os tokens de audiência ARM do Azure Ative Directory para autenticação em seu registro. Somente os tokens de audiência do Registro de Contêiner do Azure (ACR) serão usados para autenticação. Isso garantirá que apenas tokens destinados ao uso no registro possam ser usados para autenticação. A desativação de tokens de audiência ARM não afeta a autenticação do usuário administrador ou dos tokens de acesso com escopo. Saiba mais em: https://aka.ms/acr/authentication. | Auditoria, Negar, Desativado | 1.0.0 |
| Os registos de contentores devem ter as exportações desativadas | A desativação das exportações melhora a segurança, garantindo que os dados de um registo são acedidos apenas através do plano de dados («docker pull»). Os dados não podem ser movidos para fora do registo através de 'acr import' ou via 'acr transfer'. Para desativar as exportações, o acesso à rede pública deve ser desativado. Saiba mais em: https://aka.ms/acr/export-policy. | Auditoria, Negar, Desativado | 1.0.0 |
| Os registros de contêiner devem ter a conta de administrador local desabilitada. | Desative a conta de administrador do seu registro para que ele não seja acessível pelo administrador local. A desativação de métodos de autenticação local, como usuário administrador, tokens de acesso com escopo de repositório e pull anônimo, melhora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Auditoria, Negar, Desativado | 1.0.1 |
| Os registros de contêiner devem ter o token de acesso com escopo do repositório desabilitado. | Desative os tokens de acesso com escopo do repositório para seu registro para que os repositórios não sejam acessíveis por tokens. A desativação de métodos de autenticação local, como usuário administrador, tokens de acesso com escopo de repositório e pull anônimo, melhora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. | Auditoria, Negar, Desativado | 1.0.0 |
| Os registros de contêiner devem ter SKUs que ofereçam suporte a Links Privados | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Negar, Desativado | 1.0.0 |
| Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
| Os registros de contêiner devem impedir a criação de regras de cache | Desative a criação de regras de cache para o Registro de Contêiner do Azure para evitar extrações de cache. Saiba mais em: https://aka.ms/acr/cache. | Auditoria, Negar, Desativado | 1.0.0 |
| Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
| O acesso à rede pública deve ser desabilitado para registros de contêiner | A desativação do acesso à rede pública melhora a segurança, garantindo que os registros de contêiner não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos do Registro de contêiner. Saiba mais em: https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Auditoria, Negar, Desativado | 1.0.0 |
Cosmos DB
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.0.0 |
| As contas do Azure Cosmos DB não devem exceder o número máximo de dias permitido desde a última regeneração da chave de conta. | Regenere as suas chaves no tempo especificado para manter os seus dados mais protegidos. | Auditoria, Desativado | 1.0.0 |
| As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Locais permitidos do Azure Cosmos DB | Esta política permite restringir os locais que sua organização pode especificar ao implantar recursos do Azure Cosmos DB. Utilize para impor os requisitos de conformidade geográfica. | [parâmetros('policyEffect')] | 1.1.0 |
| O acesso de gravação de metadados baseado em chave do Azure Cosmos DB deve ser desabilitado | Esta política permite garantir que todas as contas do Azure Cosmos DB desativem o acesso de gravação de metadados baseado em chaves. | append | 1.0.0 |
| O Azure Cosmos DB deve desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que sua conta do CosmosDB não seja exposta na Internet pública. A criação de endpoints privados pode limitar a exposição da sua conta do CosmosDB. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Auditoria, Negar, Desativado | 1.0.0 |
| A taxa de transferência do Azure Cosmos DB deve ser limitada | Essa política permite que você restrinja a taxa de transferência máxima que sua organização pode especificar ao criar bancos de dados e contêineres do Azure Cosmos DB por meio do provedor de recursos. Ele bloqueia a criação de recursos de escala automática. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Configurar contas de banco de dados do Cosmos DB para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que suas contas de banco de dados do Cosmos DB exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modificar, Desativado | 1.1.0 |
| Configurar contas do CosmosDB para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu recurso do CosmosDB para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modificar, Desativado | 1.0.1 |
| Configurar contas do CosmosDB para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para a conta do CosmosDB. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar contas do CosmosDB com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para sua conta do CosmosDB, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, desativado | 1.0.0 |
| As contas de banco de dados do Cosmos DB devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Implantar proteção avançada contra ameaças para contas do Cosmos DB | Esta política permite a Proteção Avançada contra Ameaças em contas do Cosmos DB. | DeployIfNotExists, desativado | 1.0.0 |
Provedor personalizado
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implantar associações para um provedor personalizado | Implanta um recurso de associação que associa tipos de recursos selecionados ao provedor personalizado especificado. Esta implantação de política não oferece suporte a tipos de recursos aninhados. | deployIfNotExists | 1.0.0 |
Data Box
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados em repouso no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Advanced Encryption Standard de 256 bits para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo | Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box, a fim de preparar o dispositivo e copiar dados de forma automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com criptografia de 256 bits Advanced Encryption Standard e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada pela Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
Data Factory
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os pipelines do Azure Data Factory só devem comunicar com domínios permitidos | Para evitar a exfiltração de dados e token, defina os domínios com os quais o Azure Data Factory deve ter permissão para se comunicar. Nota: Enquanto na visualização pública, a conformidade para esta política não é relatada, & para a política a ser aplicada ao Data Factory, habilite a funcionalidade de regras de saída no estúdio ADF. Para mais informações, visite https://aka.ms/data-exfiltration-policy. | Negar, Desativado | 1.0.0-pré-visualização |
| As fábricas de dados do Azure devem ser criptografadas com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. | Auditoria, Negar, Desativado | 1.0.1 |
| O tempo de execução da integração do Azure Data Factory deve ter um limite para o número de núcleos | Para gerenciar seus recursos e custos, limite o número de núcleos para um tempo de execução de integração. | Auditoria, Negar, Desativado | 1.0.0 |
| O tipo de recurso de serviço vinculado do Azure Data Factory deve estar na lista de permissões | Defina a lista de permissões dos tipos de serviço vinculados do Azure Data Factory. A restrição de tipos de recursos permitidos permite o controle sobre o limite da movimentação de dados. Por exemplo, restrinja um escopo para permitir apenas o armazenamento de blob com o Data Lake Storage Gen1 e Gen2 para análise ou um escopo para permitir apenas o acesso SQL e Kusto para consultas em tempo real. | Auditoria, Negar, Desativado | 1.1.0 |
| Os serviços vinculados do Azure Data Factory devem usar o Cofre da Chave para armazenar segredos | Para garantir que os segredos (como cadeias de conexão) sejam gerenciados com segurança, exija que os usuários forneçam segredos usando um Cofre de Chaves do Azure em vez de especificá-los embutidos em serviços vinculados. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços vinculados do Azure Data Factory devem usar a autenticação de identidade gerenciada atribuída ao sistema quando houver suporte | O uso de identidade gerenciada atribuída ao sistema ao se comunicar com armazenamentos de dados por meio de serviços vinculados evita o uso de credenciais menos seguras, como senhas ou cadeias de conexão. | Auditoria, Negar, Desativado | 2.1.0 |
| O Azure Data Factory deve usar um repositório Git para controle do código-fonte | Configure apenas o seu data factory de desenvolvimento com integração Git. As alterações no teste e na produção devem ser implantadas via CI/CD e NÃO devem ter integração com o Git. NÃO aplique esta política em suas fábricas de dados de QA / Teste / Produção. | Auditoria, Negar, Desativado | 1.0.1 |
| O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar Data Factories para desativar o acesso à rede pública | Desative o acesso à rede pública para o seu Data Factory para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modificar, Desativado | 1.0.0 |
| Configurar zonas DNS privadas para pontos de extremidade privados que se conectam ao Azure Data Factory | Os registos DNS privados permitem ligações privadas a terminais privados. As conexões de ponto de extremidade privado permitem uma comunicação segura habilitando a conectividade privada com seu Azure Data Factory sem a necessidade de endereços IP públicos na origem ou no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar pontos de extremidade privados para fábricas de dados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o Azure Data Factory, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, desativado | 1.1.0 |
| O acesso à rede pública no Azure Data Factory deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Azure Data Factory só possa ser acessado a partir de um ponto de extremidade privado. | Auditoria, Negar, Desativado | 1.0.0 |
| Os tempos de execução de integração do SQL Server Integration Services no Azure Data Factory devem ser associados a uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança e isolamento aprimorados para seus tempos de execução de integração do SQL Server Integration Services no Azure Data Factory, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. | Auditoria, Negar, Desativado | 2.3.0 |
Data Lake
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir criptografia em contas do Repositório Data Lake | Esta política garante que a criptografia esteja habilitada em todas as contas do Repositório Data Lake | negar | 1.0.0 |
| Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Virtualização de Desktop
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os grupos de hosts da Área de Trabalho Virtual do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança e mantém seus dados seguros, garantindo que o acesso ao serviço de Área de Trabalho Virtual do Azure não seja exposto à Internet pública. Saiba mais em: https://aka.ms/avdprivatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| Os grupos de hosts da Área de Trabalho Virtual do Azure devem desabilitar o acesso à rede pública somente em hosts de sessão | Desabilitar o acesso à rede pública para seus hosts de sessão do hostpool da Área de Trabalho Virtual do Azure, mas permitir o acesso público para usuários finais, melhora a segurança, limitando a exposição à Internet pública. Saiba mais em: https://aka.ms/avdprivatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| O serviço de Área de Trabalho Virtual do Azure deve usar link privado | Usar o Azure Private Link com seus recursos da Área de Trabalho Virtual do Azure pode melhorar a segurança e manter seus dados seguros. Saiba mais sobre links privados em: https://aka.ms/avdprivatelink. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho da Área de Trabalho Virtual do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública para seu recurso de espaço de trabalho da Área de Trabalho Virtual do Azure impede que o feed seja acessível pela Internet pública. Permitir apenas o acesso à rede privada melhora a segurança e mantém os seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar recursos do pool de hosts da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar pools de hosts da Área de Trabalho Virtual do Azure para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para hosts de sessão e usuários finais em seu recurso de pool de hosts da Área de Trabalho Virtual do Azure para que ele não seja acessível pela Internet pública. Isso melhora a segurança e mantém seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. | Modificar, Desativado | 1.0.0 |
| Configurar pools de hosts da Área de Trabalho Virtual do Azure para desabilitar o acesso à rede pública somente para hosts de sessão | Desabilite o acesso à rede pública para seus hosts de sessão do hostpool da Área de Trabalho Virtual do Azure, mas permita o acesso público para usuários finais. Isso permite que os usuários ainda acessem o serviço AVD, garantindo que o host da sessão só seja acessível por meio de rotas privadas. Saiba mais em: https://aka.ms/avdprivatelink. | Modificar, Desativado | 1.0.0 |
| Configurar grupos de hosts da Área de Trabalho Virtual do Azure com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seus recursos da Área de Trabalho Virtual do Azure, você pode melhorar a segurança e manter seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos do espaço de trabalho da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar espaços de trabalho da Área de Trabalho Virtual do Azure para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu recurso de espaço de trabalho da Área de Trabalho Virtual do Azure para que o feed não esteja acessível pela Internet pública. Isso melhora a segurança e mantém seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. | Modificar, Desativado | 1.0.0 |
| Configurar espaços de trabalho da Área de Trabalho Virtual do Azure com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seus recursos da Área de Trabalho Virtual do Azure, você pode melhorar a segurança e manter seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. | DeployIfNotExists, desativado | 1.0.0 |
Centro de Desenvolvimento
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preview]: Microsoft Dev Box Pools não devem usar Microsoft Hosted Networks. | Não permite o uso de Microsoft Hosted Networks ao criar recursos de Pool. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
ElasticSan
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O ElasticSan deve desativar o acesso à rede pública | Desative o acesso à rede pública do seu ElasticSan para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.0.0 |
| O ElasticSan Volume Group deve usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do seu VolumeGroup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pela plataforma, mas as CMKs geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade, com total controle e responsabilidade, incluindo rotação e gerenciamento. | Auditoria, Desativado | 1.0.0 |
| O ElasticSan Volume Group deve usar endpoints privados | Os pontos de extremidade privados permitem que o administrador conecte redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o grupo de volumes, o administrador pode reduzir os riscos de vazamento de dados | Auditoria, Desativado | 1.0.0 |
Event Grid
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os domínios da Grade de Eventos do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os domínios da Grade de Eventos do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. | Auditoria, Negar, Desativado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| O broker MQTT do namespace da Grade de Eventos do Azure deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu namespace de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. | Auditoria, Desativado | 1.0.0 |
| O agente de tópicos do namespace da Grade de Eventos do Azure deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu namespace de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. | Auditoria, Desativado | 1.0.0 |
| Os namespaces da Grade de Eventos do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os namespaces de parceiros da Grade de Eventos do Azure devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os namespaces de parceiros da Grade de Eventos do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. | Auditoria, Negar, Desativado | 1.0.0 |
| Os tópicos da Grade de Eventos do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os tópicos da Grade de Eventos do Azure devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os tópicos da Grade de Eventos do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. | Auditoria, Negar, Desativado | 1.0.0 |
| Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| Configurar domínios da Grade de Eventos do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seus domínios da Grade de Eventos do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. | Modificar, Desativado | 1.0.0 |
| Configurar o broker MQTT do namespace da Grade de Eventos do Azure com pontos de extremidade privados | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar namespaces da Grade de Eventos do Azure com pontos de extremidade privados | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar namespaces de parceiros da Grade de Eventos do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seus namespaces de parceiro da Grade de Eventos do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. | Modificar, Desativado | 1.0.0 |
| Configurar tópicos da Grade de Eventos do Azure para desabilitar a autenticação local | Desabilite métodos de autenticação local para que seus tópicos da Grade de Eventos do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. | Modificar, Desativado | 1.0.0 |
| Implantar - Configurar domínios da Grade de Eventos do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
| Implantar - Configurar domínios da Grade de Eventos do Azure com pontos de extremidade privados | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar tópicos da Grade de Eventos do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
| Implantar - Configurar tópicos da Grade de Eventos do Azure com pontos de extremidade privados | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Modificar - Configurar domínios da Grade de Eventos do Azure para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o recurso Grade de Eventos do Azure para que ele não seja acessível pela Internet pública. Isso ajudará a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. | Modificar, Desativado | 1.0.0 |
| Modificar - Configurar tópicos da Grade de Eventos do Azure para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o recurso Grade de Eventos do Azure para que ele não seja acessível pela Internet pública. Isso ajudará a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. | Modificar, Desativado | 1.0.0 |
Hub de Eventos
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as regras de autorização, exceto RootManageSharedAccessKey, devem ser removidas do namespace do Hub de Eventos | Os clientes do Hub de Eventos não devem usar uma política de acesso em nível de namespace que forneça acesso a todas as filas e tópicos em um namespace. Para alinhar com o modelo de segurança de privilégios mínimos, você deve criar políticas de acesso no nível da entidade para filas e tópicos para fornecer acesso apenas à entidade específica | Auditoria, Negar, Desativado | 1.0.1 |
| As regras de autorização na instância do Hub de Eventos devem ser definidas | Auditar a existência de regras de autorização em entidades do Hub de Eventos para conceder acesso com privilégios mínimos | AuditIfNotExists, desativado | 1.0.0 |
| Os namespaces do Hub de Eventos do Azure devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os namespaces do Hub de Eventos do Azure exijam exclusivamente identidades de ID do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-eh. | Auditoria, Negar, Desativado | 1.0.1 |
| Configurar namespaces do Hub de Eventos do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seus namespaces do Hub de Eventos do Azure exijam exclusivamente identidades de ID do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-eh. | Modificar, Desativado | 1.0.1 |
| Configurar namespaces do Hub de Eventos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para namespaces do Hub de Eventos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar namespaces do Hub de Eventos com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem desabilitar o acesso à rede pública | O Hub de Eventos do Azure deve ter o acesso à rede pública desabilitado. A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service | Auditoria, Negar, Desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem ter criptografia dupla habilitada | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia | Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Auditoria, Desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Relé de fluido
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Fluid Relay deve usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu servidor Fluid Relay. Por padrão, os dados do cliente são criptografados com chaves gerenciadas por serviço, mas as CMKs geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade, com total controle e responsabilidade, incluindo rotação e gerenciamento. Saiba mais em https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Auditoria, Desativado | 1.0.0 |
Geral
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Localizações permitidas | Esta política permite-lhe restringir as localizações que a sua organização pode especificar ao implementar recursos. Utilize para impor os requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories e recursos que usam a região 'global'. | negar | 1.0.0 |
| Locais permitidos para grupos de recursos | Esta política permite-lhe restringir as localizações em que a sua organização pode criar grupos de recursos. Utilize para impor os requisitos de conformidade geográfica. | negar | 1.0.0 |
| Tipos de recursos permitidos | Essa política permite especificar os tipos de recursos que sua organização pode implantar. Apenas os tipos de recursos que suportam 'tags' e 'localização' serão afetados por esta política. Para restringir todos os recursos, por favor duplique esta política e altere o 'modo' para 'Todos'. | negar | 1.0.0 |
| O local do recurso de auditoria corresponde ao local do grupo de recursos | Auditar se o local do recurso corresponde ao local do grupo de recursos | auditoria | 2.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Configurar subscrições para configurar funcionalidades de pré-visualização | Esta política avalia os recursos de visualização da assinatura existente. As subscrições podem ser corrigidas para se registarem numa nova funcionalidade de pré-visualização. As novas subscrições não serão registadas automaticamente. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
| Não permitir a exclusão de tipos de recursos | Esta política permite especificar os tipos de recursos que sua organização pode proteger contra exclusão acidental bloqueando chamadas de exclusão usando o efeito de ação de negação. | DenyAction, desativado | 1.0.1 |
| Não permitir recursos M365 | Criação de blocos de recursos M365. | Auditoria, Negar, Desativado | 1.0.0 |
| Não permitir recursos MCPP | Bloquear a criação de recursos MCPP. | Auditoria, Negar, Desativado | 1.0.0 |
| Excluir recursos de custos de uso | Esta política permite que você exlcude Recursos de Custos de Uso. Os custos de uso incluem coisas como armazenamento limitado e recursos do Azure que são cobrados com base no uso. | Auditoria, Negar, Desativado | 1.0.0 |
| Tipos de recursos não permitidos | Restrinja quais tipos de recursos podem ser implantados em seu ambiente. Limitar os tipos de recursos pode reduzir a complexidade e a superfície de ataque do seu ambiente e, ao mesmo tempo, ajudar a gerenciar custos. Os resultados de conformidade são mostrados apenas para recursos não compatíveis. | Auditoria, Negar, Desativado | 2.0.0 |
Configuração de Convidado
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Adicionar identidade gerida atribuída pelo utilizador para ativar atribuições de Configuração de Convidado em máquinas virtuais | Esta política adiciona uma identidade gerenciada atribuída pelo usuário a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado. Uma identidade gerenciada atribuída pelo usuário é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: Configure o Windows Server para desativar utilizadores locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de usuários locais no Windows Server. Isso garante que os Servidores Windows só possam ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: As Atualizações de Segurança Alargadas devem ser instaladas em máquinas Windows Server 2012 Arc. | As máquinas Windows Server 2012 Arc devem ter instalado todas as Atualizações de Segurança Estendidas lançadas pela Microsoft. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure para hosts Docker | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. A máquina não está configurada corretamente para uma das recomendações na linha de base de segurança do Azure para hosts Docker. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: As máquinas Linux devem cumprir os requisitos de conformidade STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações no requisito de conformidade STIG para computação do Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Preview]: Máquinas Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todas as máquinas devem ser atualizadas para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, veja https://aka.ms/omiguidance. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Preview]: As máquinas de computação Nexus devem atender à linha de base de segurança | Utiliza o agente de Configuração de Convidado de Política do Azure para auditoria. Essa política garante que as máquinas adiram à linha de base de segurança de computação do Nexus, abrangendo várias recomendações projetadas para fortalecer as máquinas contra uma série de vulnerabilidades e configurações inseguras (somente Linux). | AuditIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: As máquinas Windows devem cumprir os requisitos de conformidade STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações nos requisitos de conformidade STIG para computação do Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
| Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que tenham os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local não contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar a conectividade de rede de máquinas Windows | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o status de uma conexão de rede com uma porta IP e TCP não corresponder ao parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows nas quais a configuração DSC não é compatível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o comando Get-DSCConfigurationStatus do Windows PowerShell retornar que a configuração DSC da máquina não é compatível. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows nas quais o agente do Log Analytics não está conectado conforme o esperado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o agente não estiver instalado ou se estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornará que ele está registrado em um espaço de trabalho diferente da ID especificada no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows nas quais os serviços especificados não estão instalados e 'Em execução' | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o resultado do comando Get-Service do Windows PowerShell não incluir o nome do serviço com status correspondente, conforme especificado pelo parâmetro policy. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows nas quais o Console Serial do Windows não está habilitado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não tiver o software Serial Console instalado ou se o número da porta EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os parâmetros da política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não estão associadas ao domínio especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o valor da propriedade Domain na classe WMI win32_computersystem não corresponder ao valor no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não estão definidas para o fuso horário especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os certificados no armazenamento especificado tiverem uma data de expiração fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas se há certificados específicos ou excluir certificados específicos e se deseja relatar certificados expirados. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não contêm os certificados especificados na Raiz Confiável | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o armazenamento de certificados Raiz Confiável da máquina (Cert:\LocalMachine\Root) não contiver um ou mais dos certificados listados pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Windows que não têm a política de execução do Windows PowerShell especificada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o comando Get-ExecutionPolicy do Windows PowerShell retornar um valor diferente do selecionado no parâmetro policy. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Windows que não têm os módulos especificados do Windows PowerShell instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Windows que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o nome do aplicativo não for encontrado em nenhum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows com contas extras no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver membros que não estão listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não foram reiniciadas dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que tenham os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o nome do aplicativo for encontrado em qualquer um dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver um ou mais dos membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar VMs do Windows com uma reinicialização pendente | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina estiver pendente de reinicialização por qualquer um dos seguintes motivos: manutenção baseada em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, gerente de configuração pendente de reinicialização. Cada deteção tem um caminho de registro exclusivo. | auditIfNotExists | 2.0.0 |
| A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
| Configure o Linux Server para desativar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de usuários locais no Linux Server. Isso garante que os Servidores Linux só possam ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por esta política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.3.0-Pré-visualização |
| Configurar protocolos de comunicação seguros (TLS 1.1 ou TLS 1.2) em máquinas Windows | Cria uma atribuição de Configuração de Convidado para configurar a versão de protocolo seguro especificada (TLS 1.1 ou TLS 1.2) na máquina Windows. | DeployIfNotExists, desativado | 1.0.1 |
| Configure o fuso horário em máquinas Windows. | Esta política cria uma atribuição de Configuração de Convidado para definir o fuso horário especificado em máquinas virtuais do Windows. | deployIfNotExists | 2.1.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| As máquinas Linux devem ter o agente do Log Analytics instalado no Azure Arc | As máquinas não serão compatíveis se o agente do Log Analytics não estiver instalado no servidor Linux habilitado para Azure Arc. | AuditIfNotExists, desativado | 1.1.0 |
| As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.2.0 |
| As máquinas Linux só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Gerenciar contas de usuário usando o Azure Ative Directory é uma prática recomendada para gerenciamento de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.2.0 |
| As máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.2.1 |
| Os métodos de autenticação local devem ser desativados em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Linux não tiverem os métodos de autenticação local desativados. Isso é para validar que os Servidores Linux só podem ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por esta política, melhorando a postura geral de segurança. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| Os métodos de autenticação local devem ser desabilitados nos servidores Windows | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Windows não tiverem métodos de autenticação local desativados. Isso é para validar que os Servidores Windows só podem ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| Pontos de extremidade privados para atribuições de Configuração de Convidado devem ser habilitados | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com a Configuração de Convidado para máquinas virtuais. As máquinas virtuais não serão compatíveis, a menos que tenham a tag 'EnablePrivateNetworkGC'. Essa tag impõe comunicação segura por meio de conectividade privada com a Configuração de Convidado para Máquinas Virtuais. A conectividade privada limita o acesso ao tráfego proveniente apenas de redes conhecidas e impede o acesso de todos os outros endereços IP, incluindo no Azure. | Auditoria, Negar, Desativado | 1.1.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
| As máquinas Windows devem configurar o Windows Defender para atualizar assinaturas de proteção dentro de um dia | Para fornecer proteção adequada contra malware recém-lançado, as assinaturas de proteção do Windows Defender precisam ser atualizadas regularmente para levar em conta o malware recém-lançado. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas Windows devem habilitar a proteção em tempo real do Windows Defender | As máquinas Windows devem habilitar a proteção em tempo real no Windows Defender para fornecer proteção adequada contra malware recém-lançado. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas Windows devem ter o agente do Log Analytics instalado no Azure Arc | As máquinas não serão compatíveis se o agente do Log Analytics não estiver instalado no servidor Windows habilitado para Azure Arc. | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - Painel de Controle' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Painel de Controle' para personalização de entrada e prevenção de habilitação de telas de bloqueio. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - MSS (Legado)' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - MSS (Legado)' para logon automático, proteção de tela, comportamento de rede, DLL segura e log de eventos. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Modelos Administrativos - Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Rede' para logons convidados, conexões simultâneas, ponte de rede, ICS e resolução de nomes multicast. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Sistema' para configurações que controlam a experiência administrativa e a Assistência Remota. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Opções de Segurança - Contas' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Contas' para limitar o uso de senhas em branco e o status da conta de convidado da conta local. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Auditoria' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Auditoria' para forçar a subcategoria de diretiva de auditoria e desligar se não for possível registrar auditorias de segurança. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Dispositivos' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Dispositivos' para desencaixar sem fazer logon, instalar drivers de impressão e formatar/ejetar mídia. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Logon Interativo' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Logon Interativo' para exibir o último nome de usuário e exigir ctrl-alt-del. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Cliente de Rede Microsoft' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Cliente de Rede Microsoft' para cliente/servidor de rede Microsoft e SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Microsoft Network Server' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Microsoft Network Server' para desabilitar o servidor SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Acesso à Rede' para incluir acesso para usuários anônimos, contas locais e acesso remoto ao Registro. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Segurança de Rede' para incluir o comportamento do Sistema Local, PKU2U, LAN Manager, cliente LDAP e SSP NTLM. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Console de recuperação' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Console de recuperação' para permitir cópia de disquete e acesso a todas as unidades e pastas. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Opções de Segurança - Desligamento' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Desligamento' para permitir o desligamento sem logon e limpar o arquivo de paginação da memória virtual. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Opções de Segurança - Objetos do sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Objetos do sistema' para insensibilidade a maiúsculas e minúsculas para subsistemas que não sejam do Windows e permissões de objetos internos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Configurações do Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Configurações do sistema' para regras de certificado em executáveis para SRP e subsistemas opcionais. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Controle de Conta de Usuário' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Controle de Conta de Usuário' para o modo para administradores, comportamento do prompt de elevação e virtualização de falhas de gravação de arquivo e registro. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Configurações de Segurança - Políticas de Conta' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Configurações de Segurança - Diretivas de Conta' para histórico de senhas, idade, comprimento, complexidade e armazenamento de senhas usando criptografia reversível. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - logon de conta' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Logon de Conta' para auditar a validação de credenciais e outros eventos de logon de conta. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - Gerenciamento de contas' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Gerenciamento de Contas' para auditar aplicativos, segurança e gerenciamento de grupos de usuários e outros eventos de gerenciamento. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Rastreamento Detalhado' para auditar DPAPI, criação/encerramento de processos, eventos RPC e atividade PNP. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - Logon-Logoff' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Logon-Logoff' para auditar IPSec, diretiva de rede, declarações, bloqueio de conta, associação a grupos e eventos de logon/logoff. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - acesso a objetos' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Acesso a Objetos' para auditoria de arquivos, registros, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - Alteração de política' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Alteração de Política' para auditar alterações nas diretivas de auditoria do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - uso de privilégios' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Uso de Privilégios' para auditar usos não confidenciais e outros privilégios. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema - Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Sistema' para auditar o driver IPsec, a integridade do sistema, a extensão do sistema, a alteração de estado e outros eventos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Atribuição de Direitos de Usuário' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Atribuição de Direitos de Usuário' para permitir logon localmente, RDP, acesso da rede e muitas outras atividades do usuário. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Componentes do Windows' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Componentes do Windows' para autenticação básica, tráfego não criptografado, contas da Microsoft, telemetria, Cortana e outros comportamentos do Windows. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Propriedades do Firewall do Windows' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Propriedades do Firewall do Windows' para estado do firewall, conexões, gerenciamento de regras e notificações. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Esta definição não é suportada no Windows Server 2012 ou 2012 R2. Gerenciar contas de usuário usando o Azure Ative Directory é uma prática recomendada para gerenciamento de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem agendar o Windows Defender para executar uma verificação agendada todos os dias | Para garantir a deteção imediata de malware e minimizar o seu impacto no seu sistema, recomenda-se que as máquinas Windows com o Windows Defender agende uma verificação diária. Verifique se o Windows Defender é suportado, pré-instalado no dispositivo e se os pré-requisitos de Configuração de Convidado estão implantados. O não cumprimento destes requisitos pode levar a resultados de avaliação imprecisos. Saiba mais sobre a Configuração de Convidado em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.2.0 |
| As máquinas Windows devem usar o servidor NTP padrão | Configure o 'time.windows.com' como o servidor NTP padrão para todas as máquinas Windows para garantir que os logs em todos os sistemas tenham relógios do sistema todos sincronizados. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais do Windows devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.1.1 |
HDInsight
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os clusters do Azure HDInsight devem ser injetados em uma rede virtual | Injetar clusters do Azure HDInsight em uma rede virtual desbloqueia recursos avançados de rede e segurança do HDInsight e fornece controle sobre sua configuração de segurança de rede. | Auditar, Desabilitar, Negar | 1.0.0 |
| Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. | Auditoria, Negar, Desativado | 1.0.1 |
| Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados em repouso | Habilitar a criptografia no host ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e fluem criptografados para o serviço de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| Os clusters do Azure HDInsight devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre nós de cluster do Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure HDInsight deve usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para clusters do Azure HDInsight, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/hdi.pl. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar clusters do Azure HDInsight para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver os clusters do Azure HDInsight. Saiba mais em: https://aka.ms/hdi.pl. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters do Azure HDInsight com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para clusters do Azure HDInsight, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/hdi.pl. | DeployIfNotExists, desativado | 1.0.0 |
Health Bot
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os Bots de Saúde do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente (CMK) para gerenciar a criptografia em repouso dos dados de seus healthbots. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas a CMK geralmente é necessária para atender aos padrões de conformidade regulamentar. A CMK permite que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://docs.microsoft.com/azure/health-bot/cmk | Auditoria, Desativado | 1.0.0 |
Espaço de trabalho Serviços de Dados de Integridade
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O espaço de trabalho dos Serviços de Dados de Integridade do Azure deve usar link privado | O espaço de trabalho Serviços de Dados de Integridade deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/healthcareapisprivatelink. | Auditoria, Desativado | 1.0.0 |
APIs de cuidados de saúde
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O CORS não deve permitir que todos os domínios acessem seu Serviço FHIR | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu Serviço FHIR. Para proteger seu serviço FHIR, remova o acesso para todos os domínios e defina explicitamente os domínios permitidos para se conectar. | auditoria, Auditoria, desativado, Desativado | 1.1.0 |
| O Serviço DICOM deve usar uma chave gerenciada pelo cliente para criptografar dados em repouso | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados no Serviço DICOM dos Serviços de Dados de Saúde do Azure quando isso for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também oferecem criptografia dupla, adicionando uma segunda camada de criptografia à padrão feita com chaves gerenciadas por serviço. | Auditoria, Desativado | 1.0.0 |
| O Serviço FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados em repouso | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados no Serviço FHIR dos Serviços de Dados de Integridade do Azure quando esse for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também oferecem criptografia dupla, adicionando uma segunda camada de criptografia à padrão feita com chaves gerenciadas por serviço. | Auditoria, Desativado | 1.0.0 |
Internet das Coisas
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: o Hub IoT do Azure deve utilizar a chave gerida pelo cliente para encriptar dados em repouso | A criptografia de dados em repouso no Hub IoT com chave gerenciada pelo cliente adiciona uma segunda camada de criptografia às chaves gerenciadas por serviço padrão, permite o controle de chaves pelo cliente, políticas de rotação personalizadas e a capacidade de gerenciar o acesso aos dados por meio do controle de acesso de chaves. As chaves gerenciadas pelo cliente devem ser configuradas durante a criação do Hub IoT. Para obter mais informações sobre como configurar chaves gerenciadas pelo cliente, consulte https://aka.ms/iotcmk. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Visualização]: os dados do serviço de provisionamento de dispositivos do Hub IoT devem ser criptografados usando chaves gerenciadas pelo cliente (CMK) | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do serviço de provisionamento de dispositivos do Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| As contas do Azure Device Update devem usar a chave gerenciada pelo cliente para criptografar dados em repouso | A criptografia de dados em repouso na Atualização de Dispositivo do Azure com chave gerenciada pelo cliente adiciona uma segunda camada de criptografia sobre as chaves gerenciadas pelo serviço padrão, permite o controle de chaves pelo cliente, políticas de rotação personalizadas e a capacidade de gerenciar o acesso aos dados por meio do controle de acesso de chave. Saiba mais em:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Auditoria, Negar, Desativado | 1.0.0 |
| A Atualização de Dispositivo do Azure para contas do Hub IoT deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para contas do Hub IoT da Atualização de Dispositivo do Azure, os riscos de vazamento de dados são reduzidos. | AuditIfNotExists, desativado | 1.0.0 |
| O Hub IoT do Azure deve ter métodos de autenticação local desabilitados para APIs de Serviço | A desativação de métodos de autenticação local melhora a segurança, garantindo que o Hub IoT do Azure exija exclusivamente identidades do Azure Ative Directory para autenticação de API de Serviço. Saiba mais em: https://aka.ms/iothubdisablelocalauth. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que a Atualização de Dispositivo para o Hub IoT só possa ser acessada a partir de um ponto de extremidade privado. Esta política desativa o acesso à rede pública na Atualização de Dispositivo para recursos do Hub IoT. | Modificar, Desativado | 1.0.0 |
| Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma Zona DNS privada para Atualização de Dispositivo para pontos de extremidade privados do Hub IoT. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT com ponto de extremidade privado | Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Esta política implanta um ponto de extremidade privado para seu hub de Atualização de Dispositivo para IoT para permitir que os serviços dentro de sua rede virtual alcancem esse recurso sem exigir que o tráfego seja enviado para a Atualização de Dispositivo para o ponto de extremidade público do Hub IoT. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar o Hub IoT do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seu Hub IoT do Azure exija exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/iothubdisablelocalauth. | Modificar, Desativado | 1.0.0 |
| Configurar instâncias de provisionamento de dispositivo do Hub IoT para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para uma instância de serviço de provisionamento de dispositivo do Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar instâncias de serviço de provisionamento de dispositivo do Hub IoT para desabilitar o acesso à rede pública | Desative o acesso à rede pública para sua instância de provisionamento de dispositivo do Hub IoT para que ela não esteja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/iotdpsvnet. | Modificar, Desativado | 1.0.0 |
| Configurar instâncias de serviço de provisionamento de dispositivo do Hub IoT com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar Hubs IoT do Azure para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma Zona DNS privada para pontos de extremidade privados do Hub IoT. | deployIfNotExists, DeployIfNotExists, desabilitado, desabilitado | 1.1.0 |
| Implantar - Configurar Hubs IoT do Azure com pontos de extremidade privados | Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Esta política implanta um ponto de extremidade privado para seu hub IoT para permitir que os serviços dentro de sua rede virtual alcancem o Hub IoT sem exigir que o tráfego seja enviado para o ponto de extremidade público do Hub IoT. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar o IoT Central para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do IoT Central. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar o IoT Central com pontos de extremidade privados | Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Esta política implanta um ponto de extremidade privado para seu IoT Central para permitir que os serviços dentro de sua rede virtual alcancem o IoT Central sem exigir que o tráfego seja enviado para o ponto de extremidade público do IoT Central. | DeployIfNotExists, desativado | 1.0.0 |
| IoT Central deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu aplicativo IoT Central em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/iotcentral-network-security-using-pe. | Auditoria, Negar, Desativado | 1.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que a instância do serviço de provisionamento de dispositivos do Hub IoT não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição das instâncias de provisionamento de dispositivos do Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. | Auditoria, Negar, Desativado | 1.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
| Modificar - Configurar os Hubs IoT do Azure para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Hub IoT do Azure só possa ser acessado a partir de um ponto de extremidade privado. Esta política desativa o acesso à rede pública nos recursos do Hub IoT. | Modificar, Desativado | 1.0.0 |
| Modificar - Configurar o IoT Central para desativar o acesso à rede pública | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que o IoT Central só possa ser acessado a partir de um ponto de extremidade privado. Esta política desativa o acesso à rede pública nos recursos do Hub IoT. | Modificar, Desativado | 1.0.0 |
| Ponto de extremidade privado deve ser habilitado para o Hub IoT | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Hub IoT. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | Auditoria, Desativado | 1.0.0 |
| O acesso à rede pública para contas do Azure Device Update for IoT Hub deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que suas contas da Atualização de Dispositivo do Azure para o Hub IoT só possam ser acessadas a partir de um ponto de extremidade privado. | Auditoria, Negar, Desativado | 1.0.0 |
| O acesso à rede pública no Hub IoT do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Hub IoT do Azure só possa ser acessado a partir de um ponto de extremidade privado. | Auditoria, Negar, Desativado | 1.0.0 |
| O acesso à rede pública deve ser desativado para o IoT Central | Para melhorar a segurança do IoT Central, certifique-se de que ele não esteja exposto à internet pública e só possa ser acessado a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/iotcentral-restrict-public-access. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Key Vault
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: As chaves HSM geridas do Azure Key Vault devem ter uma data de expiração | Para usar esta política na visualização, você deve primeiro seguir estas instruções em https://aka.ms/mhsmgovernance. As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: As chaves HSM geridas do Azure Key Vault devem ter mais do que o número especificado de dias antes da expiração | Para usar esta política na visualização, você deve primeiro seguir estas instruções em https://aka.ms/mhsmgovernance. Se uma chave estiver muito próxima da expiração, um atraso organizacional para girar a chave pode resultar em uma interrupção. As chaves devem ser giradas em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. | Auditoria, Negar, Desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: As chaves HSM geridas do Azure Key Vault que utilizam criptografia de curva elíptica devem ter os nomes de curva especificados | Para usar esta política na visualização, você deve primeiro seguir estas instruções em https://aka.ms/mhsmgovernance. As chaves apoiadas por criptografia de curva elíptica podem ter nomes de curva diferentes. Algumas aplicações são compatíveis apenas com teclas de curva elípticas específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. | Auditoria, Negar, Desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: As chaves HSM geridas do Azure Key Vault que utilizam encriptação RSA devem ter um tamanho mínimo de chave especificado | Para usar esta política na visualização, você deve primeiro seguir estas instruções em https://aka.ms/mhsmgovernance. Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a muitos requisitos de certificação do setor. | Auditoria, Negar, Desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: Azure Key Vault Managed HSM deve desativar o acesso à rede pública | Desative o acesso à rede pública para o HSM gerenciado do Azure Key Vault para que ele não esteja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Azure Key Vault Managed HSM deve utilizar ligação privada | O link privado fornece uma maneira de conectar o Azure Key Vault Managed HSM aos seus recursos do Azure sem enviar tráfego pela Internet pública. O link privado fornece proteção de defesa em profundidade contra a exfiltração de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os certificados devem ser emitidos por uma das autoridades de certificação não integradas especificadas | Gerencie seus requisitos de conformidade organizacional especificando autoridades de certificação personalizadas ou internas que podem emitir certificados em seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar o Azure Key Vault Managed HSM para desativar o acesso à rede pública | Desative o acesso à rede pública para o HSM gerenciado do Azure Key Vault para que ele não esteja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modificar, Desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar o HSM Gerido do Azure Key Vault com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o HSM gerenciado do Azure Key Vault, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| O HSM gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão maliciosa de um HSM gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um insider mal-intencionado em sua organização pode potencialmente excluir e limpar o Azure Key Vault Managed HSM. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM gerenciado do Azure Key Vault excluído suavemente. Ninguém dentro da sua organização ou da Microsoft poderá limpar o HSM gerenciado do Azure Key Vault durante o período de retenção de exclusão suave. | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Key Vault deve desativar o acesso à rede pública | Desative o acesso à rede pública para o cofre da chave para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/akvprivatelink. | Auditoria, Negar, Desativado | 1.1.0 |
| O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 3.2.1 |
| O Azure Key Vault deve usar o modelo de permissão RBAC | Habilite o modelo de permissão RBAC nos Cofres de Chaves. Saiba mais em: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Auditoria, Negar, Desativado | 1.0.1 |
| Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
| Os certificados devem ser emitidos pela autoridade de certificação integrada especificada | Gerencie seus requisitos de conformidade organizacional especificando as autoridades de certificação integradas do Azure que podem emitir certificados em seu cofre de chaves, como Digicert ou GlobalSign. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados devem ser emitidos pela autoridade de certificação não integrada especificada | Gerencie seus requisitos de conformidade organizacional especificando uma autoridade de certificação personalizada ou interna que possa emitir certificados em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.1 |
| Os certificados devem ter os gatilhos de ação de tempo de vida especificados | Gerencie seus requisitos de conformidade organizacional especificando se uma ação de tempo de vida do certificado é acionada em uma porcentagem específica de sua vida útil ou em um determinado número de dias antes de sua expiração. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.2.1 |
| Os certificados não devem expirar dentro do número de dias especificado | Gerencie certificados que expirarão dentro de um número especificado de dias para garantir que sua organização tenha tempo suficiente para girar o certificado antes da expiração. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.1 |
| Os certificados devem usar tipos de chave permitidos | Gerencie seus requisitos de conformidade organizacional restringindo os principais tipos permitidos para certificados. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados que usam criptografia de curva elíptica devem ter permitido nomes de curva | Gerencie os nomes de curva elíptica permitidos para certificados ECC armazenados no cofre de chaves. Mais informações podem ser encontradas em https://aka.ms/akvpolicy. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados que usam criptografia RSA devem ter o tamanho mínimo de chave especificado | Gerencie seus requisitos de conformidade organizacional especificando um tamanho mínimo de chave para certificados RSA armazenados em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Configurar os Cofres de Chaves do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para o cofre de chaves. Saiba mais em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar os Cofres de Chaves do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar cofres de chaves para ativar o firewall | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Em seguida, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Modificar, Desativado | 1.1.1 |
| Implantar - Definir configurações de diagnóstico para o espaço de trabalho do Azure Key Vault to Log Analytics | Implanta as configurações de diagnóstico do Cofre de Chaves do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer Cofre de Chaves que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.1 |
| Implantar - Definir configurações de diagnóstico para um Hub de Eventos a ser habilitado no HSM gerenciado do Azure Key Vault | Implanta as configurações de diagnóstico do HSM Gerenciado do Azure Key Vault para transmitir para um Hub de Eventos regional quando qualquer HSM Gerenciado do Azure Key Vault que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Cofre da Chave no Hub de Eventos | Implanta as configurações de diagnóstico do Cofre da Chave para transmitir para um Hub de Eventos regional quando qualquer Cofre da Chave que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 3.0.1 |
| As chaves do Cofre da Chave devem ter uma data de expiração | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
| Os segredos do Cofre de Chaves devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
| Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
| As chaves devem ser apoiadas por um módulo de segurança de hardware (HSM) | Um HSM é um módulo de segurança de hardware que armazena chaves. Um HSM fornece uma camada física de proteção para chaves criptográficas. A chave criptográfica não pode deixar um HSM físico que fornece um nível maior de segurança do que uma chave de software. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ser do tipo criptográfico especificado RSA ou EC | Algumas aplicações requerem o uso de chaves apoiadas por um tipo criptográfico específico. Imponha um tipo de chave criptográfica específico, RSA ou EC, em seu ambiente. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ter uma política de rotação que garanta que sua rotação seja agendada dentro do número especificado de dias após a criação. | Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias após a criação da chave até que ela seja rotativa. | Auditoria, Desativado | 1.0.0 |
| As chaves devem ter mais do que o número especificado de dias antes da expiração | Se uma chave estiver muito próxima da expiração, um atraso organizacional para girar a chave pode resultar em uma interrupção. As chaves devem ser giradas em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias que uma chave pode ser válida dentro do seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves não devem ficar ativas por mais tempo do que o número especificado de dias | Especifique o número de dias em que uma chave deve estar ativa. As chaves que são usadas por um longo período de tempo aumentam a probabilidade de que um invasor possa comprometer a chave. Como boa prática de segurança, certifique-se de que as suas chaves não estão ativas há mais de dois anos. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves que usam criptografia de curva elíptica devem ter os nomes de curva especificados | As chaves apoiadas por criptografia de curva elíptica podem ter nomes de curva diferentes. Algumas aplicações são compatíveis apenas com teclas de curva elípticas específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves que usam criptografia RSA devem ter um tamanho de chave mínimo especificado | Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a muitos requisitos de certificação do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| Os logs de recursos no HSM gerenciado do Azure Key Vault devem ser habilitados | Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida, convém auditar habilitando logs de recursos em HSMs gerenciados. Por favor, siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, desativado | 1.1.0 |
| Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os segredos devem ter o tipo de conteúdo definido | Uma tag de tipo de conteúdo ajuda a identificar se um segredo é uma senha, cadeia de conexão, etc. Segredos diferentes têm requisitos de rotação diferentes. A tag de tipo de conteúdo deve ser definida em segredos. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos devem ter mais do que o número especificado de dias antes da expiração | Se um segredo estiver muito perto da expiração, um atraso organizacional para girar o segredo pode resultar em uma interrupção. Os segredos devem ser alternados em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos devem ter o período máximo de validade especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias que um segredo pode ser válido em seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos não devem estar ativos por mais tempo do que o número de dias especificado | Se seus segredos foram criados com uma data de ativação definida no futuro, você deve garantir que seus segredos não estejam ativos por mais tempo do que a duração especificada. | Auditoria, Negar, Desativado | 1.0.1 |
Kubernetes
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preview]: [Image Integrity] Os clusters Kubernetes só devem usar imagens assinadas por notação | Use imagens assinadas por notação para garantir que as imagens provenham de fontes confiáveis e não sejam modificadas maliciosamente. Para mais informações, visite https://aka.ms/aks/image-integrity | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
| [Pré-visualização]: Não é possível editar nós individuais | Não é possível editar nós individuais. Os usuários não devem editar nós individuais. Edite os pools de nós. A modificação de nós individuais pode levar a configurações inconsistentes, desafios operacionais e riscos potenciais de segurança. | Auditoria, Negar, Desativado | 1.1.1-Pré-visualização |
| [Pré-visualização]: Configurar clusters Kubernetes ativados pelo Azure Arc para instalar a extensão Microsoft Defender for Cloud | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, desativado | 7.1.0-Pré-visualização |
| [Pré-visualização]: Implementar a integridade da imagem no Serviço Kubernetes do Azure | Implante clusters Kubernetes do Azure e Integridade da Imagem e Complementos de Política. Para mais informações, visite https://aka.ms/aks/image-integrity | DeployIfNotExists, desativado | 1.0.5-Pré-visualização |
| [Preview]: As imagens de contêiner de cluster do Kubernetes devem incluir o gancho preStop | Requer que as imagens de contêiner incluam um gancho preStop para encerrar normalmente os processos durante os desligamentos do pod. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Visualização]: As imagens de contêiner de cluster do Kubernetes não devem incluir a tag de imagem mais recente | Requer que as imagens de contêiner não usem a tag mais recente no Kubernetes, é uma prática recomendada para garantir a reprodutibilidade, evitar atualizações não intencionais e facilitar a depuração e as reversões usando imagens de contêiner explícitas e versionadas. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: Os contêineres de cluster do Kubernetes só devem extrair imagens quando segredos de pull de imagem estiverem presentes | Restringir as capturas de imagem dos contêineres para impor a presença de ImagePullSecrets, garantindo acesso seguro e autorizado às imagens dentro de um cluster Kubernetes | Auditoria, Negar, Desativado | 1.1.0-Pré-visualização |
| [Preview]: Os serviços de cluster do Kubernetes devem usar seletores exclusivos | Verifique se os serviços em um namespace têm seletores exclusivos. Um seletor de serviço exclusivo garante que cada serviço dentro de um namespace seja identificável exclusivamente com base em critérios específicos. Esta política sincroniza os recursos de entrada no OPA por meio do Gatekeeper. Antes de aplicar, verifique se a capacidade de memória dos pods do Gatekeeper não será excedida. Os parâmetros se aplicam a namespaces específicos, mas ele sincroniza todos os recursos desse tipo em todos os namespaces. Atualmente em pré-visualização para o Serviço Kubernetes (AKS). | Auditoria, Negar, Desativado | 1.1.1-Pré-visualização |
| [Preview]: O cluster Kubernetes deve implementar orçamentos precisos de interrupção de pod | Evita orçamentos defeituosos de interrupção de pods, garantindo um número mínimo de pods operacionais. Consulte a documentação oficial do Kubernetes para obter detalhes. Depende da replicação de dados do Gatekeeper e sincroniza todos os recursos de entrada com escopo para ele no OPA. Antes de aplicar essa política, verifique se os recursos de entrada sincronizados não sobrecarregarão sua capacidade de memória. Embora os parâmetros avaliem namespaces específicos, todos os recursos desse tipo entre namespaces serão sincronizados. Nota: atualmente em pré-visualização para o Serviço Kubernetes (AKS). | Auditoria, Negar, Desativado | 1.1.1-Pré-visualização |
| [Preview]: clusters Kubernetes devem restringir a criação de determinado tipo de recurso | Dado Kubernetes tipo de recurso não deve ser implantado em determinado namespace. | Auditoria, Negar, Desativado | 2.2.0-Pré-visualização |
| [Pré-visualização]: Deve ter regras anti-afinidade definidas | Essa política garante que os pods sejam agendados em nós diferentes dentro do cluster. Ao impor regras de antiafinidade, a disponibilidade é mantida mesmo se um dos nós ficar indisponível. Os pods continuarão a funcionar em outros nós, aumentando a resiliência. | Auditoria, Negar, Desativado | 1.1.1-Pré-visualização |
| [Pré-visualização]: Sem rótulos específicos do AKS | Impede que os clientes apliquem rótulos específicos da AKS. O AKS usa rótulos prefixados para kubernetes.azure.com indicar componentes de propriedade do AKS. O cliente não deve utilizar estes rótulos. |
Auditoria, Negar, Desativado | 1.1.1-Pré-visualização |
| [Pré-visualização]: Manchas reservadas do pool do sistema | Restringe a mancha CriticalAddonsOnly apenas ao pool do sistema. O AKS usa a mancha CriticalAddonsOnly para manter os pods do cliente longe do pool do sistema. Ele garante uma separação clara entre os componentes do AKS e os pods do cliente, bem como evita que os pods do cliente sejam removidos se não tolerarem a mancha do CriticalAddonsOnly. | Auditoria, Negar, Desativado | 1.1.1-Pré-visualização |
| [Preview]: Restringe a mancha CriticalAddonsOnly apenas ao pool do sistema. | Para evitar a remoção de aplicativos de usuários de grupos de usuários e manter a separação de preocupações entre os pools de usuários e de sistema, a mancha 'CriticalAddonsOnly' não deve ser aplicada a grupos de usuários. | Mutar, Desativado | 1.1.0-Pré-visualização |
| [Preview]: Define os limites de CPU dos contêineres de cluster do Kubernetes para valores padrão caso não estejam presentes ou excedam os limites. | Definição de limites de CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. | Mutar, Desativado | 1.1.0-Pré-visualização |
| [Preview]: Define os limites de memória dos contêineres de cluster do Kubernetes para valores padrão caso não estejam presentes ou excedam os limites. | Definição de limites de memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. | Mutar, Desativado | 1.1.0-Pré-visualização |
| [Preview]: Define maxUnavailable pods como 1 para recursos PodDisruptionBudget | Definir o valor máximo de pod indisponível como 1 garante que seu aplicativo ou serviço esteja disponível durante uma interrupção | Mutar, Desativado | 1.1.0-Pré-visualização |
| [Preview]: Define readOnlyRootFileSystem na especificação Pod em contêineres init como true se não estiver definido. | Definir readOnlyRootFileSystem como true aumenta a segurança, impedindo que os contêineres gravem no sistema de arquivos raiz. Isso funciona apenas para contêineres linux. | Mutar, Desativado | 1.1.0-Pré-visualização |
| [Preview]: Define readOnlyRootFileSystem na especificação do Pod como true se não estiver definido. | Definir readOnlyRootFileSystem como true aumenta a segurança, impedindo que os contêineres gravem no sistema de arquivos raiz | Mutar, Desativado | 1.1.0-Pré-visualização |
| Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada | A extensão da Política do Azure para o Azure Arc fornece imposições e proteções em escala em seus clusters Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | AuditIfNotExists, desativado | 1.1.0 |
| Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Open Service Mesh instalada | A extensão Open Service Mesh fornece todos os recursos de malha de serviço padrão para segurança, gerenciamento de tráfego e observabilidade de serviços de aplicativos. Saiba mais aqui: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Strimzi Kafka instalada | A extensão Strimzi Kafka fornece aos operadores a instalação do Kafka para a construção de pipelines de dados em tempo real e aplicativos de streaming com recursos de segurança e observabilidade. Saiba mais aqui: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Os Clusters Kubernetes do Azure devem habilitar a Interface de Armazenamento de Contêiner (CSI) | A CSI (Container Storage Interface) é um padrão para expor sistemas arbitrários de armazenamento de blocos e arquivos a cargas de trabalho em contêineres no Serviço Kubernetes do Azure. Para saber mais, https://aka.ms/aks-csi-driver | Auditoria, Desativado | 1.0.0 |
| Os Clusters Kubernetes do Azure devem habilitar o KMS (Serviço de Gerenciamento de Chaves) | Use o Serviço de Gerenciamento de Chaves (KMS) para criptografar dados secretos em repouso no etcd para segurança de cluster do Kubernetes. Saiba mais em: https://aka.ms/aks/kmsetcdencryption. | Auditoria, Desativado | 1.0.0 |
| Os Clusters do Kubernetes do Azure devem usar o Azure CNI | O Azure CNI é um pré-requisito para alguns recursos do Serviço Kubernetes do Azure, incluindo políticas de rede do Azure, pools de nós do Windows e complemento de nós virtuais. Saiba mais em: https://aka.ms/aks-azure-cni | Auditoria, Desativado | 1.0.1 |
| Os Clusters de Serviço do Kubernetes do Azure devem desabilitar o Command Invoke | Desabilitar a invocação de comando pode melhorar a segurança, evitando ignorar o acesso restrito à rede ou o controle de acesso baseado em função do Kubernetes | Auditoria, Desativado | 1.0.1 |
| Os Clusters de Serviço do Kubernetes do Azure devem habilitar a atualização automática do cluster | A atualização automática do cluster AKS pode garantir que seus clusters estejam atualizados e não perca os recursos ou patches mais recentes do AKS e do Kubernetes upstream. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Auditoria, Desativado | 1.0.0 |
| Os Clusters de Serviço do Kubernetes do Azure devem habilitar o Image Cleaner | O Image Cleaner realiza a identificação e remoção automática de imagens vulneráveis e não utilizadas, o que reduz o risco de imagens obsoletas e reduz o tempo necessário para limpá-las. Saiba mais em: https://aka.ms/aks/image-cleaner. | Auditoria, Desativado | 1.0.0 |
| Os Clusters de Serviço do Kubernetes do Azure devem habilitar a integração do Microsoft Entra ID | A integração do Microsoft Entra ID gerenciada pelo AKS pode gerenciar o acesso aos clusters configurando o controle de acesso baseado em função do Kubernetes (Kubernetes RBAC) com base na identidade do usuário ou na associação ao grupo de diretórios. Saiba mais em: https://aka.ms/aks-managed-aad. | Auditoria, Desativado | 1.0.2 |
| Os Clusters de Serviço do Kubernetes do Azure devem habilitar a atualização automática do node os | A atualização automática do SO do nó AKS controla as atualizações de segurança do SO ao nível do nó. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Auditoria, Desativado | 1.0.0 |
| Os Clusters de Serviço do Kubernetes do Azure devem habilitar a identidade da carga de trabalho | A identidade da carga de trabalho permite atribuir uma identidade exclusiva a cada Pod do Kubernetes e associá-la a recursos protegidos pelo Azure AD, como o Cofre da Chave do Azure, permitindo o acesso seguro a esses recursos a partir do Pod. Saiba mais em: https://aka.ms/aks/wi. | Auditoria, Desativado | 1.0.0 |
| Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado | O Microsoft Defender for Containers fornece recursos de segurança Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender for Containers em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Auditoria, Desativado | 2.0.1 |
| Os Clusters de Serviço do Kubernetes do Azure devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Clusters de Serviço do Kubernetes do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aks-disable-local-accounts. | Auditoria, Negar, Desativado | 1.0.1 |
| Os Clusters de Serviço do Kubernetes do Azure devem usar identidades gerenciadas | Use identidades gerenciadas para envolver entidades de serviço, simplificar o gerenciamento de cluster e evitar a complexidade necessária para entidades de serviço gerenciadas. Saiba mais em: https://aka.ms/aks-update-managed-identities | Auditoria, Desativado | 1.0.1 |
| Os Clusters Privados do Serviço Kubernetes do Azure devem ser habilitados | Habilite o recurso de cluster privado para o cluster do Serviço Kubernetes do Azure para garantir que o tráfego de rede entre o servidor de API e os pools de nós permaneça somente na rede privada. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. | Auditoria, Desativado | 1.0.2 |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | A encriptação do SO e dos discos de dados utilizando chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão de chaves. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| Configurar clusters Kubernetes habilitados para Azure Arc para instalar a extensão Azure Policy | Implante a extensão da Política do Azure para o Azure Arc para fornecer imposições em escala e proteger seus clusters Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters do Serviço Kubernetes do Azure para habilitar o perfil do Defender | O Microsoft Defender for Containers fornece recursos de segurança Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.Defender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, desativado | 4.1.0 |
| Configurar a instalação da extensão Flux no cluster do Kubernetes | Instale a extensão Flux no cluster Kubernetes para permitir a implantação de 'fluxconfigurations' no cluster | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando a origem do bucket e segredos no KeyVault | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Esta definição requer um Bucket SecretKey armazenado no Cofre da Chave. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando repositório Git e certificado de CA HTTPS | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um certificado de autoridade de certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave HTTPS armazenado no Cofre de Chaves. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave privada SSH armazenado no Cofre da Chave. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git público | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos HTTPS | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer segredos de usuário e chave HTTPS armazenados no Cofre de Chaves. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
| Configurar clusters Kubernetes com configuração de GitOps especificada usando nenhum segredo | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
| Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos SSH | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer um segredo de chave privada SSH no Cofre de Chaves. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
| Configurar Clusters de Serviço Kubernetes do Azure integrados ao Microsoft Entra ID com acesso necessário ao Grupo de Administração | Certifique-se de melhorar a segurança do cluster controlando centralmente o acesso do Administrador aos clusters AKS integrados do Microsoft Entra ID. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar a atualização automática do sistema operacional do nó no cluster do Kubernetes do Azure | Use a atualização automática do sistema operacional do nó para controlar as atualizações de segurança do sistema operacional no nível do nó dos clusters do Serviço Kubernetes do Azure (AKS). Para mais informações, visite https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, desativado | 1.0.1 |
| Implantar - Definir configurações de diagnóstico para o espaço de trabalho do Serviço Kubernetes do Azure para o Log Analytics | Implanta as configurações de diagnóstico do Serviço Kubernetes do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 3.0.0 |
| Implantar o Complemento de Política do Azure em clusters do Serviço Kubernetes do Azure | Use o Complemento de Política do Azure para gerenciar e relatar o estado de conformidade de seus clusters do Serviço Kubernetes do Azure (AKS). Para obter mais informações, veja https://aka.ms/akspolicydoc. | DeployIfNotExists, desativado | 4.1.0 |
| Implantar o Image Cleaner no Serviço Kubernetes do Azure | Implante o Image Cleaner em clusters do Kubernetes do Azure. Para mais informações, visite https://aka.ms/aks/image-cleaner | DeployIfNotExists, desativado | 1.0.4 |
| Implantar a Manutenção Planejada para agendar e controlar atualizações para seu cluster do Serviço Kubernetes do Azure (AKS) | A Manutenção Planejada permite agendar janelas de manutenção semanais para realizar atualizações e minimizar o impacto da carga de trabalho. Uma vez agendadas, as atualizações ocorrem apenas durante a janela selecionada. Saiba mais em: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Desabilitar Command Invoke em clusters do Serviço Kubernetes do Azure | A desativação da invocação de comando pode melhorar a segurança rejeitando o acesso do comando invoke ao cluster | DeployIfNotExists, desativado | 1.2.0 |
| Garantir que os contêineres de cluster tenham testes de prontidão ou vivacidade configurados | Esta política impõe que todos os pods tenham um teste de prontidão e/ou vivacidade configurado. Os tipos de sonda podem ser qualquer um dos tcpSocket, httpGet e exec. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 3.2.0 |
| Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.2.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| Os contêineres de cluster do Kubernetes não devem usar interfaces sysctl proibidas | Os contêineres não devem usar interfaces sysctl proibidas em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.1 |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.2.0 |
| Os contêineres de cluster do Kubernetes só devem usar ProcMountType permitidos | Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.1 |
| Os contêineres de cluster do Kubernetes só devem usar a política de pull permitida | Restringir a política de recebimento de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações | Auditoria, Negar, Desativado | 3.1.0 |
| Os contêineres de cluster do Kubernetes devem usar apenas perfis seccomp permitidos | Os contêineres de pod só podem usar perfis seccomp permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
| Os volumes FlexVolume do pod de cluster do Kubernetes só devem usar drivers permitidos | Os volumes do Pod FlexVolume só devem usar drivers permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.1 |
| Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.1 |
| Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.1 |
| Os pods e contêineres de cluster do Kubernetes só devem usar as opções permitidas do SELinux | Pods e contêineres só devem usar opções SELinux permitidas em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os pods de cluster do Kubernetes só devem usar tipos de volume permitidos | Os pods só podem usar tipos de volume permitidos em um cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.1 |
| Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os pods de cluster do Kubernetes devem usar rótulos especificados | Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| Os serviços de cluster do Kubernetes só devem usar IPs externos permitidos | Use IPs externos permitidos para evitar o ataque potencial (CVE-2020-8554) em um cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| O cluster Kubernetes não deve usar pods nus | Bloqueie o uso de Pods nus. Os Naked Pods não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Deployment, Replicset, Daemonset ou Jobs | Auditoria, Negar, Desativado | 2.1.0 |
| Os contêineres do cluster Kubernetes do Windows não devem comprometer demais a CPU e a memória | As solicitações de recursos de contêiner do Windows devem ser menores ou iguais ao limite de recursos ou não especificadas para evitar excesso de confirmação. Se a memória do Windows for provisionada em excesso, ele processará páginas no disco - o que pode diminuir o desempenho - em vez de encerrar o contêiner com falta de memória | Auditoria, Negar, Desativado | 2.1.0 |
| Os contêineres do Windows do cluster Kubernetes não devem ser executados como ContainerAdministrator | Impeça o uso de ContainerAdministrator como o usuário para executar os processos de contêiner para pods ou contêineres do Windows. Esta recomendação destina-se a melhorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/ . | Auditoria, Negar, Desativado | 1.1.0 |
| Os contêineres do Windows do cluster Kubernetes só devem ser executados com usuário aprovado e grupo de usuários de domínio | Controle o usuário que os pods e contêineres do Windows podem usar para executar em um cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança do Pod em nós do Windows, que se destinam a melhorar a segurança dos seus ambientes Kubernetes. | Auditoria, Negar, Desativado | 2.1.0 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| Os clusters Kubernetes devem desativar as credenciais de API de montagem automática | Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.1.0 |
| Os clusters do Kubernetes devem garantir que a função de administrador de cluster seja usada apenas quando necessário | A função 'cluster-admin' fornece amplos poderes sobre o ambiente e deve ser usada apenas onde e quando necessário. | Auditoria, Desativado | 1.0.0 |
| Os clusters do Kubernetes devem minimizar o uso de curingas na função e na função de cluster | O uso de curingas '*' pode ser um risco de segurança porque concede permissões amplas que podem não ser necessárias para uma função específica. Se uma função tiver muitas permissões, ela poderá ser abusada por um invasor ou usuário comprometido para obter acesso não autorizado a recursos no cluster. | Auditoria, Desativado | 1.0.0 |
| Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os clusters Kubernetes não devem permitir permissões de edição de ponto de extremidade de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint & EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Desativado | 3.1.0 |
| Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| Os clusters Kubernetes não devem usar recursos de segurança específicos | Impeça recursos de segurança específicos em clusters Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| Os clusters Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.1.0 |
| Os clusters Kubernetes devem usar o driver StorageClass da Interface de Armazenamento de Contêiner (CSI) | A Interface de Armazenamento de Contentores (CSI) é uma norma para expor sistemas de blocos e armazenamento de ficheiros arbitrários a cargas de trabalho em contentores no Kubernetes. O provisionador StorageClass na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver | Auditoria, Negar, Desativado | 2.2.0 |
| Os clusters Kubernetes devem usar balanceadores de carga internos | Use balanceadores de carga internos para tornar um serviço Kubernetes acessível apenas a aplicativos executados na mesma rede virtual que o cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| Os recursos do Kubernetes devem ter anotações necessárias | Certifique-se de que as anotações necessárias sejam anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 3.1.0 |
| Os logs de recursos no Serviço Kubernetes do Azure devem ser habilitados | Os logs de recursos do Serviço Kubernetes do Azure podem ajudar a recriar trilhas de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existirão quando necessário | AuditIfNotExists, desativado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host | Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
Lab Services
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os Serviços de Laboratório devem habilitar todas as opções de desligamento automático | Esta política fornece ajuda com o gerenciamento de custos, impondo que todas as opções de desligamento automático estejam habilitadas para um laboratório. | Auditoria, Negar, Desativado | 1.1.0 |
| Os Serviços de Laboratório não devem permitir máquinas virtuais de modelo para laboratórios | Essa política impede a criação e a personalização de um modelo de máquinas virtuais para laboratórios gerenciados por meio do Lab Services. | Auditoria, Negar, Desativado | 1.1.0 |
| Os Serviços de Laboratório devem exigir um usuário não administrador para laboratórios | Esta política exige que sejam criadas contas de utilizador não administradores para os laboratórios geridos através dos serviços de laboratório. | Auditoria, Negar, Desativado | 1.1.0 |
| Os Serviços de Laboratório devem restringir os tamanhos permitidos de SKU de máquina virtual | Esta política permite restringir determinadas SKUs de VM de Computação para laboratórios gerenciados por meio dos Serviços de Laboratório. Isso restringirá determinados tamanhos de máquina virtual. | Auditoria, Negar, Desativado | 1.1.0 |
Lighthouse
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Permitir que o gerenciamento de IDs de locatário seja integrado por meio do Azure Lighthouse | Restringir as delegações do Azure Lighthouse a locatários de gerenciamento específicos aumenta a segurança, limitando aqueles que podem gerenciar seus recursos do Azure. | negar | 1.0.1 |
| Delegação de escopos de auditoria a um locatário de gerenciamento | Delegação de auditoria de escopos a um locatário de gerenciamento por meio do Azure Lighthouse. | Auditoria, Desativado | 1.0.0 |
Logic Apps
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Ambiente do Serviço de Integração de Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente | Implante no Integration Service Environment para gerenciar a criptografia no restante dos dados dos Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, Negar, Desativado | 1.0.0 |
| Os aplicativos lógicos devem ser implantados no ambiente do Integration Service | A implantação de Aplicativos Lógicos no Ambiente do Serviço de Integração em uma rede virtual desbloqueia recursos avançados de rede e segurança dos Aplicativos Lógicos e fornece maior controle sobre a configuração da rede. Saiba mais em: https://aka.ms/integration-service-environment. A implantação no Integration Service Environment também permite a criptografia com chaves gerenciadas pelo cliente, o que fornece proteção de dados aprimorada, permitindo que você gerencie suas chaves de criptografia. Isso geralmente é para atender aos requisitos de conformidade. | Auditoria, Negar, Desativado | 1.0.0 |
| Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Machine Learning
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: As Implementações de Registo do Modelo do Azure Machine Learning são restritas, exceto para o Registo permitido | Implante Modelos de Registro somente no Registro permitido e que não sejam restritos. | Negar, Desativado | 1.0.0-pré-visualização |
| A Instância de Computação do Azure Machine Learning deve ter o desligamento ocioso. | Ter um cronograma de desligamento ocioso reduz os custos ao desligar os cálculos que estão ociosos após um período predeterminado de atividade. | Auditoria, Negar, Desativado | 1.0.0 |
| As instâncias de computação do Azure Machine Learning devem ser recriadas para obter as atualizações de software mais recentes | Garanta que as instâncias de computação do Azure Machine Learning sejam executadas no sistema operacional disponível mais recente. A segurança é melhorada e as vulnerabilidades reduzidas através da execução com os patches de segurança mais recentes. Para mais informações, visite https://aka.ms/azureml-ci-updates/. | [parâmetros(«efeitos»)] | 1.0.3 |
| Os Cálculos do Azure Machine Learning devem estar em uma rede virtual | As Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Clusters e Instâncias de Computação do Azure Machine Learning, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada de máquinas virtuais e aplicativos dentro da rede virtual. | Auditoria, Desativado | 1.0.1 |
| Os Cálculos do Azure Machine Learning devem ter os métodos de autenticação local desativados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Cálculos de Aprendizado de Máquina exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Auditoria, Negar, Desativado | 2.1.0 |
| Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Auditoria, Negar, Desativado | 1.0.3 |
| Os Espaços de Trabalho do Azure Machine Learning devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que os espaços de trabalho de Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição de seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Auditoria, Negar, Desativado | 2.0.1 |
| Os espaços de trabalho do Azure Machine Learning devem habilitar o V1LegacyMode para dar suporte à compatibilidade com versões anteriores do isolamento de rede | O Azure ML está fazendo uma transição para uma nova plataforma de API V2 no Azure Resource Manager e você pode controlar a versão da plataforma de API usando o parâmetro V1LegacyMode. Habilitar o parâmetro V1LegacyMode permitirá que você mantenha seus espaços de trabalho no mesmo isolamento de rede que V1, embora você não tenha uso dos novos recursos V2. Recomendamos ativar o Modo Legado V1 somente quando você quiser manter os dados do plano de controle do AzureML dentro de suas redes privadas. Saiba mais em: https://aka.ms/V1LegacyMode. | Auditoria, Negar, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Machine Learning devem usar a identidade gerenciada atribuída pelo usuário | Acesso Manange ao espaço de trabalho do Azure ML e recursos associados, Azure Container Registry, KeyVault, Storage e App Insights usando a identidade gerenciada atribuída pelo usuário. Por padrão, a identidade gerenciada atribuída ao sistema é usada pelo espaço de trabalho do Azure ML para acessar os recursos associados. A identidade gerenciada atribuída pelo usuário permite que você crie a identidade como um recurso do Azure e mantenha o ciclo de vida dessa identidade. Saiba mais em https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar os Cálculos do Azure Machine Learning para desabilitar métodos de autenticação local | Desative os métodos de autenticação de local para que seus Cálculos de Aprendizado de Máquina exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Modificar, Desativado | 2.1.0 |
| Configurar o espaço de trabalho do Azure Machine Learning para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os espaços de trabalho do Azure Machine Learning. Saiba mais em: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar os Espaços de Trabalho do Azure Machine Learning para desabilitar o acesso à rede pública | Desative o acesso à rede pública para os Espaços de Trabalho do Azure Machine Learning para que os seus espaços de trabalho não estejam acessíveis através da Internet pública. Isso ajuda a proteger os espaços de trabalho contra riscos de vazamento de dados. Em vez disso, você pode controlar a exposição de seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modificar, Desativado | 1.0.3 |
| Configurar espaços de trabalho do Azure Machine Learning com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu espaço de trabalho do Azure Machine Learning, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, desativado | 1.0.0 |
| Definir configurações de diagnóstico para espaços de trabalho do Azure Machine Learning para espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Espaços de Trabalho do Azure Machine Learning para transmitir logs de recursos para um Espaço de Trabalho do Log Analytics quando qualquer Espaço de Trabalho do Azure Machine Learning que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.1 |
| Os logs de recursos nos Espaços de Trabalho do Azure Machine Learning devem ser habilitados | Os logs de recursos permitem a recriação de trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desativado | 1.0.1 |
Aplicativo gerenciado
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A definição de aplicativo para aplicativo gerenciado deve usar a conta de armazenamento fornecida pelo cliente | Use sua própria conta de armazenamento para controlar os dados de definição do aplicativo quando isso for um requisito regulatório ou de conformidade. Você pode optar por armazenar sua definição de aplicativo gerenciado em uma conta de armazenamento fornecida por você durante a criação, para que sua localização e acesso possam ser totalmente gerenciados por você para atender aos requisitos de conformidade regulamentar. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Implantar associações para um aplicativo gerenciado | Implanta um recurso de associação que associa tipos de recursos selecionados ao aplicativo gerenciado especificado. Esta implantação de política não oferece suporte a tipos de recursos aninhados. | deployIfNotExists | 1.0.0 |
Managed Grafana
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Azure Managed Grafana deve usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para o Managed Grafana, você pode reduzir os riscos de vazamento de dados. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Managed Grafana devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que seu espaço de trabalho do Azure Managed Grafana não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de seus espaços de trabalho. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar painéis do Azure Managed Grafana com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o Azure Managed Grafana, você pode reduzir os riscos de vazamento de dados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar espaços de trabalho do Azure Managed Grafana para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu espaço de trabalho do Azure Managed Grafana para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. | Modificar, Desativado | 1.0.0 |
| Configurar espaços de trabalho do Azure Managed Grafana para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver os espaços de trabalho do Azure Managed Grafana. | DeployIfNotExists, desativado | 1.0.0 |
Identidade Gerida
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preview]: As credenciais federadas de identidade gerenciada do Kubernetes do Azure devem ser de fontes confiáveis | Esta política limita a federeation com clusters do Azure Kubernetes apenas a clusters de locatários aprovados, regiões aprovadas e uma lista de exceções específica de clusters adicionais. | Auditar, Desabilitar, Negar | 1.0.0-pré-visualização |
| [Preview]: As credenciais federadas de identidade gerenciada do GitHub devem ser de proprietários de repositórios confiáveis | Esta política limita a federação com repositórios GitHub apenas a proprietários de repositórios aprovados. | Auditar, Desabilitar, Negar | 1.0.1-Pré-visualização |
| [Visualização]: As credenciais federadas de identidade gerenciada devem ser de tipos de emissor permitidos | Esta política limita se as Identidades Gerenciadas podem usar credenciais federadas, quais tipos de emissor comuns são permitidos e fornece uma lista de exceções de emissor permitidas. | Auditar, Desabilitar, Negar | 1.0.0-pré-visualização |
| [Pré-visualização]: Atribuir Identidade Gerida Incorporada Atribuída pelo Utilizador a Conjuntos de Dimensionamento de Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada pré-criada atribuída pelo usuário em escala para conjuntos de escala de máquina virtual. Para obter documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.6-Pré-visualização |
| [Pré-visualização]: Atribuir identidade gerida incorporada atribuída pelo utilizador a máquinas virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada pré-criada atribuída pelo usuário em escala para máquinas virtuais. Para obter documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.6-Pré-visualização |
Mapas
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O CORS não deve permitir que todos os recursos acessem sua conta de mapa. | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem sua conta de mapa. Permita que apenas os domínios necessários interajam com a sua conta de mapa. | Desativado, Auditoria, Negar | 1.0.0 |
Serviços de Multimédia
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas dos Serviços de Multimédia do Azure devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que os recursos dos Serviços de Mídia não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas dos Serviços de Multimédia do Azure devem utilizar uma API que suporte a Link Privado | As contas dos Serviços de Mídia devem ser criadas com uma API que ofereça suporte a link privado. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas dos Serviços de Mídia do Azure que permitem acesso à API v2 herdada devem ser bloqueadas | A API v2 herdada dos Serviços de Mídia permite solicitações que não podem ser gerenciadas usando a Política do Azure. Os recursos dos Serviços de Mídia criados usando a API 2020-05-01 ou posterior bloqueiam o acesso à API v2 herdada. | Auditoria, Negar, Desativado | 1.0.0 |
| As políticas de chave de conteúdo dos Serviços de Mídia do Azure devem usar a autenticação de token | As políticas de chave de conteúdo definem as condições que devem ser atendidas para acessar as chaves de conteúdo. Uma restrição de token garante que as chaves de conteúdo só possam ser acessadas por usuários que tenham tokens válidos de um serviço de autenticação, por exemplo, Microsoft Entra ID. | Auditoria, Negar, Desativado | 1.0.1 |
| Os trabalhos dos Serviços de Mídia do Azure com entradas HTTPS devem limitar os URIs de entrada aos padrões de URI permitidos | Restrinja as entradas HTTPS usadas pelos trabalhos dos Serviços de Mídia a pontos de extremidade conhecidos. As entradas de pontos de extremidade HTTPS podem ser totalmente desativadas definindo uma lista vazia de padrões de entrada de trabalho permitidos. Quando as entradas de trabalho especificam um 'baseUri', os padrões serão comparados com esse valor; quando 'baseUri' não está definido, o padrão é correspondido com a propriedade 'files'. | Negar, Desativado | 1.0.1 |
| Os Serviços de Mídia do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de suas contas de Serviços de Mídia. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/mediaservicescmkdocs. | Auditoria, Negar, Desativado | 1.0.0 |
| Os Serviços de Mídia do Azure devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços de Mídia, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar os Serviços de Mídia do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para a conta dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os Serviços de Mídia do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para Serviços de Mídia, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desativado | 1.0.0 |
Migrar
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar recursos do Azure Migrate para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o seu projeto Azure Migrate. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Rede Móvel
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar o acesso de diagnóstico do Plano de Controle Principal de Pacotes para usar o tipo de autenticação Microsoft EntraID | O tipo Authenticaton deve ser Microsoft EntraID para acesso ao diagnóstico de núcleo de pacote em APIs locais | Modificar, Desativado | 1.0.0 |
| O acesso de diagnóstico do Plano de Controle de Núcleo de Pacotes deve usar apenas o tipo de autenticação Microsoft EntraID | O tipo Authenticaton deve ser Microsoft EntraID para acesso ao diagnóstico de núcleo de pacote em APIs locais | Auditoria, Negar, Desativado | 1.0.0 |
| O Grupo SIM deve usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Utilize chaves geridas pelo cliente para gerir a encriptação em repouso dos segredos do SIM num Grupo de SIM. As chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulatória e permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, Negar, Desativado | 1.0.0 |
Monitorização
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Configurar máquinas Linux compatíveis com Azure Arc com agentes do Log Analytics ligados à área de trabalho predefinida do Log Analytics | Proteja suas máquinas Linux habilitadas para Azure Arc com os recursos do Microsoft Defender for Cloud, instalando agentes do Log Analytics que enviam dados para um espaço de trabalho padrão do Log Analytics criado pelo Microsoft Defender for Cloud. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Windows habilitadas para Azure Arc com agentes do Log Analytics conectados ao espaço de trabalho padrão do Log Analytics | Proteja suas máquinas Windows habilitadas para Azure Arc com os recursos do Microsoft Defender for Cloud, instalando agentes do Log Analytics que enviam dados para um espaço de trabalho padrão do Log Analytics criado pelo Microsoft Defender for Cloud. | DeployIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Configurar a identidade gerida atribuída pelo sistema para ativar as atribuições do Azure Monitor em VMs | Configure a identidade gerenciada atribuída ao sistema para máquinas virtuais hospedadas no Azure que são suportadas pelo Azure Monitor e não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições do Azure Monitor e deve ser adicionada às máquinas antes de usar qualquer extensão do Azure Monitor. As máquinas virtuais de destino devem estar em um local com suporte. | Modificar, Desativado | 6.0.0-pré-visualização |
| [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
| [Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| O registo de atividades deve ser conservado durante, pelo menos, um ano | Esta política audita o registo de atividades se a retenção não estiver definida para 365 dias ou para sempre (dias de retenção definidos como 0). | AuditIfNotExists, desativado | 1.0.0 |
| Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
| Deve existir um alerta de registo de atividades para operações de Política específicas | Esta política audita operações de política específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 3.0.0 |
| Deve existir um alerta de registo de atividades para operações de segurança específicas | Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
| Os componentes do Application Insights devem bloquear a ingestão de logs e consultas de redes públicas | Melhore a segurança do Application Insights bloqueando a ingestão de logs e consultas de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs desse componente. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-application-insights. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os componentes do Application Insights devem bloquear a ingestão baseada no Ative Directory que não seja do Azure. | Impor a ingestão de logs para exigir a autenticação do Ative Directory do Azure impede logs não autenticados de um invasor, o que pode levar a status incorreto, alertas falsos e logs incorretos armazenados no sistema. | Negar, Auditar, Desativado | 1.0.0 |
| Os componentes do Application Insights com o Private Link ativado devem usar as contas Bring Your Own Storage para criador de perfil e depurador. | Para dar suporte a políticas de link privado e chave gerenciadas pelo cliente, crie sua própria conta de armazenamento para criador de perfil e depurador. Saiba mais em https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Negar, Auditar, Desativado | 1.0.0 |
| Configuração de diagnóstico de auditoria para tipos de recursos selecionados | Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| O Gateway de Aplicativo do Azure deve ter os logs de Recursos habilitados | Habilite os logs de recursos para o Gateway de Aplicativo do Azure (mais WAF) e transmita para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Front Door deve ter logs de recursos habilitados | Habilite os logs de recursos para o Azure Front Door (mais WAF) e transmita para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Front Door Standard ou Premium (Plus WAF) deve ter logs de recursos habilitados | Habilite os logs de recursos para o Azure Front Door Standard ou Premium (mais WAF) e transmita para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
| Os Alertas do Azure Log Search nos espaços de trabalho do Log Analytics devem usar chaves gerenciadas pelo cliente | Certifique-se de que os Alertas de Pesquisa de Log do Azure estão implementando chaves gerenciadas pelo cliente, armazenando o texto da consulta usando a conta de armazenamento que o cliente forneceu para o espaço de trabalho do Log Analytics consultado. Para mais informações, visite https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Auditar, Desabilitar, Negar | 1.0.0 |
| O perfil de log do Azure Monitor deve coletar logs para as categorias 'gravar', 'excluir' e 'ação' | Essa política garante que um perfil de log colete logs para as categorias 'gravar', 'excluir' e 'agir' | AuditIfNotExists, desativado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os Logs do Azure Monitor para Application Insights devem ser vinculados a um espaço de trabalho do Log Analytics | Vincule o componente Application Insights a um espaço de trabalho do Log Analytics para criptografia de logs. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para obter mais controle sobre o acesso aos seus dados no Azure Monitor. Vincular seu componente a um espaço de trabalho do Log Analytics habilitado com uma chave gerenciada pelo cliente garante que os logs do Application Insights atendam a esse requisito de conformidade, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| O Escopo de Link Privado do Azure Monitor deve bloquear o acesso a recursos de link não privados | O Azure Private Link permite conectar suas redes virtuais aos recursos do Azure por meio de um ponto de extremidade privado a um escopo AMPLS (Azure Monitor Private Link). Os modos de Acesso de Link Privado são definidos em seu AMPLS para controlar se as solicitações de ingestão e consulta de suas redes podem alcançar todos os recursos ou apenas recursos de Link Privado (para evitar a exfiltração de dados). Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Auditoria, Negar, Desativado | 1.0.0 |
| O Escopo de Link Privado do Azure Monitor deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Escopo de Links Privados do Azure Monitor, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Monitor deve coletar logs de atividades de todas as regiões | Esta política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo globais. | AuditIfNotExists, desativado | 2.0.0 |
| A solução 'Segurança e Auditoria' do Azure Monitor deve ser implantada | Essa política garante que a Segurança e a Auditoria sejam implantadas. | AuditIfNotExists, desativado | 1.0.0 |
| As assinaturas do Azure devem ter um perfil de log para o Log de Atividades | Esta política garante se um perfil de log está habilitado para exportar logs de atividades. Ele audita se não há nenhum perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar os logs de atividade do Azure para transmitir para o espaço de trabalho especificado do Log Analytics | Implanta as configurações de diagnóstico da Atividade do Azure para transmitir logs de auditoria de assinaturas para um espaço de trabalho do Log Analytics para monitorar eventos no nível de assinatura | DeployIfNotExists, desativado | 1.0.0 |
| Configurar componentes do Azure Application Insights para desabilitar o acesso à rede pública para ingestão e consulta de logs | Desative a ingestão de logs de componentes e consultas de acesso a redes públicas para melhorar a segurança. Somente redes conectadas de link privado poderão ingerir e consultar logs neste espaço de trabalho. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-application-insights. | Modificar, Desativado | 1.1.0 |
| Configurar espaços de trabalho do Azure Log Analytics para desabilitar o acesso à rede pública para ingestão e consulta de logs | Melhore a segurança do espaço de trabalho bloqueando a ingestão de logs e consultas de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs neste espaço de trabalho. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Modificar, Desativado | 1.1.0 |
| Configurar o Escopo de Link Privado do Azure Monitor para bloquear o acesso a recursos de link não privados | O Azure Private Link permite conectar suas redes virtuais aos recursos do Azure por meio de um ponto de extremidade privado a um escopo AMPLS (Azure Monitor Private Link). Os modos de Acesso de Link Privado são definidos em seu AMPLS para controlar se as solicitações de ingestão e consulta de suas redes podem alcançar todos os recursos ou apenas recursos de Link Privado (para evitar a exfiltração de dados). Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Modificar, Desativado | 1.0.0 |
| Configurar o Escopo de Link Privado do Azure Monitor para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o escopo de link privado do Azure Monitor. Saiba mais em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar escopos de link privado do Azure Monitor com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para os Escopos de Link Privado do Azure Monitor, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o agente de dependência em servidores Linux habilitados para Azure Arc | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar o agente de dependência em servidores Linux habilitados para Azure Arc com as configurações do Agente de Monitoramento do Azure | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência com as configurações do Agente de Monitoramento do Azure. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 1.1.2 |
| Configurar o agente de dependência em servidores Windows habilitados para Azure Arc | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar o agente de dependência em servidores Windows habilitados para Azure Arc com as configurações do Agente de Monitoramento do Azure | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência com as configurações do Agente de Monitoramento do Azure. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 1.1.2 |
| Configurar máquinas Linux Arc para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas Linux Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 2.2.0 |
| Configurar máquinas habilitadas para Linux Arc para executar o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Linux Arc para coletar dados de telemetria do SO convidado. Esta política instalará a extensão se a região for suportada. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 2.4.0 |
| Configurar máquinas Linux para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais Linux, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 6.3.0 |
| Configurar Conjuntos de Escala de Máquina Virtual Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual Linux à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.2.0 |
| Configurar conjuntos de dimensionamento de máquina virtual Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de escala de máquina virtual Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.5.0 |
| Configurar conjuntos de dimensionamento de máquina virtual Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de escala de máquina virtual Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.6.0 |
| Configurar máquinas virtuais Linux para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais Linux à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.2.0 |
| Configurar máquinas virtuais Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.5.0 |
| Configurar máquinas virtuais Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.6.0 |
| Configure a extensão do Log Analytics em servidores Linux habilitados para Azure Arc. Consulte o aviso de descontinuação abaixo | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. O VM insights usa o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece informações sobre seu desempenho. Ver mais - https://aka.ms/vminsightsdocs. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data | DeployIfNotExists, desativado | 2.1.1 |
| Configurar a extensão do Log Analytics em servidores Windows habilitados para Azure Arc | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. O VM insights usa o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece informações sobre seu desempenho. Ver mais - https://aka.ms/vminsightsdocs. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 2.1.1 |
| Configurar o espaço de trabalho e a conta de automação do Log Analytics para centralizar os logs e o monitoramento | Implante o grupo de recursos que contém o espaço de trabalho do Log Analytics e a conta de automação vinculada para centralizar os logs e o monitoramento. A conta de automação é um pré-requisito para soluções como Atualizações e Controle de Alterações. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0 |
| Configurar máquinas Windows Arc para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas Windows Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 2.2.0 |
| Configurar máquinas habilitadas para Windows Arc para executar o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Windows Arc para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 2.4.0 |
| Configurar máquinas Windows para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais do Windows, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.5.0 |
| Configurar Conjuntos de Dimensionamento de Máquina Virtual do Windows para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implantar Associação para vincular conjuntos de dimensionamento de máquina virtual do Windows à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 3.3.0 |
| Configurar conjuntos de dimensionamento de máquina virtual do Windows para executar o Azure Monitor Agent usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.4.0 |
| Configurar conjuntos de dimensionamento de máquina virtual do Windows para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.4.0 |
| Configurar Máquinas Virtuais do Windows para serem associadas a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a Associação para vincular máquinas virtuais do Windows à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 3.3.0 |
| Configurar máquinas virtuais do Windows para executar o Azure Monitor Agent usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 4.4.0 |
| Configurar máquinas virtuais do Windows para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.4.0 |
| O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| Implantar - Configurar o agente de dependência para ser habilitado em conjuntos de dimensionamento de máquina virtual do Windows | Implante conjuntos de dimensionamento do agente de dependência para máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. | DeployIfNotExists, desativado | 3.1.0 |
| Implantar - Configurar o agente de dependência para ser habilitado em máquinas virtuais do Windows | Implante o agente de dependência para máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 3.1.0 |
| Implantar - Definir configurações de diagnóstico para um espaço de trabalho do Log Analytics a ser habilitado no HSM gerenciado do Azure Key Vault | Implanta as configurações de diagnóstico do Azure Key Vault Managed HSM para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer HSM gerenciado do Azure Key Vault que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquina virtual do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 3.1.0 |
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em máquinas virtuais do Windows | Implante a extensão do Log Analytics para máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 3.1.0 |
| Implantar o agente de dependência para conjuntos de dimensionamento de máquinas virtuais Linux | Implante conjuntos de dimensionamento de agente de dependência para máquinas virtuais Linux se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Implantar o agente de dependência para conjuntos de dimensionamento de máquina virtual Linux com as configurações do Agente de Monitoramento do Azure | Implante conjuntos de dimensionamento do agente de dependência para máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. | DeployIfNotExists, desativado | 3.1.1 |
| Implantar o agente de dependência para máquinas virtuais Linux | Implante o agente de dependência para máquinas virtuais Linux se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. | deployIfNotExists | 5.0.0 |
| Implantar o agente de dependência para máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure | Implante o agente de dependência para máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 3.1.1 |
| Implantar o agente de dependência a ser habilitado em conjuntos de dimensionamento de máquina virtual do Windows com as configurações do Agente de Monitoramento do Azure | Implante conjuntos de dimensionamento do Agente de Dependência para Máquina Virtual do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. | DeployIfNotExists, desativado | 1.2.2 |
| Implantar o agente de dependência a ser habilitado em máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure | Implante o agente de dependência para máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 1.2.2 |
| Implantar configurações de diagnóstico para conta em lote no Hub de Eventos | Implanta as configurações de diagnóstico da Conta em Lote para transmitir para um Hub de Eventos regional quando qualquer Conta em Lote que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico para conta em lote no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico da Conta em Lote para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Conta em Lote que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico para a Análise Data Lake no Hub de Eventos | Implanta as configurações de diagnóstico da Análise Data Lake para transmitir para um Hub de Eventos regional quando qualquer Análise Data Lake que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Data Lake Analytics no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Data Lake Analytics para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Data Lake Analytics que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico para o Data Lake Storage Gen1 no Hub de Eventos | Implanta as configurações de diagnóstico do Data Lake Storage Gen1 para transmitir para um Hub de Eventos regional quando qualquer Data Lake Storage Gen1 que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico para o Data Lake Storage Gen1 no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Data Lake Storage Gen1 para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Data Lake Storage Gen1 que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Hub de Eventos no Hub de Eventos | Implanta as configurações de diagnóstico do Hub de Eventos para transmitir para um Hub de Eventos regional quando qualquer Hub de Eventos que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.1.0 |
| Implantar configurações de diagnóstico do Hub de Eventos no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Hub de Eventos para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Hub de Eventos que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Cofre de Chaves no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Cofre de Chaves para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Cofre de Chaves que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 3.0.0 |
| Implantar configurações de diagnóstico para aplicativos lógicos no Hub de Eventos | Implanta as configurações de diagnóstico dos Aplicativos Lógicos para transmitir para um Hub de Eventos regional quando qualquer Aplicativo Lógico que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico para aplicativos lógicos no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Aplicativos Lógicos para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Aplicativo Lógico que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico para grupos de segurança de rede | Esta política implementa automaticamente as definições de diagnóstico nos grupos de segurança da rede. Uma conta de armazenamento com o nome '{storagePrefixParameter}{NSGLocation}' será criada automaticamente. | deployIfNotExists | 2.0.1 |
| Implantar configurações de diagnóstico dos Serviços de Pesquisa no Hub de Eventos | Implanta as configurações de diagnóstico dos Serviços de Pesquisa para transmitir para um Hub de Eventos regional quando qualquer Serviço de Pesquisa que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico dos Serviços de Pesquisa no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Pesquisa para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Serviço de Pesquisa que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Service Bus no Hub de Eventos | Implanta as configurações de diagnóstico do Service Bus para transmitir para um Hub de Eventos regional quando qualquer Service Bus que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Service Bus no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Service Bus para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Service Bus que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.1.0 |
| Implantar configurações de diagnóstico do Stream Analytics no Hub de Eventos | Implanta as configurações de diagnóstico do Stream Analytics para transmitir para um Hub de Eventos regional quando qualquer Stream Analytics que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Stream Analytics no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Stream Analytics para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Stream Analytics que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquinas virtuais Linux. Consulte o aviso de descontinuação abaixo | Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquinas virtuais Linux se a Imagem da VM (SO) estiver na lista definida e a extensão não estiver instalada. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as VMs do conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. Aviso de descontinuação: o agente do Log Analytics não será suportado após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data | deployIfNotExists | 3.0.0 |
| Implante a extensão do Log Analytics para VMs Linux. Consulte o aviso de descontinuação abaixo | Implante a extensão do Log Analytics para VMs Linux se a Imagem de VM (SO) estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data | deployIfNotExists | 3.0.0 |
| Habilitar o registro em log por grupo de categorias para serviços de Gerenciamento de API (microsoft.apimanagement/service) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para serviços de Gerenciamento de API (microsoft.apimanagement/service) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para serviços de Gerenciamento de API (microsoft.apimanagement/service) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Configuração de Aplicativo (microsoft.appconfiguration/configurationstores) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Configuração de Aplicativo (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Configuração de Aplicativo (microsoft.appconfiguration/configurationstores) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Configuração de Aplicativo (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Configuração de Aplicativo (microsoft.appconfiguration/configurationstores) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Configuração de Aplicativo (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias do Serviço de Aplicativo (microsoft.web/sites) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Serviço de Aplicativo (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para o grupo de aplicativos (microsoft.desktopvirtualization/applicationgroups) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o grupo de aplicativos de área de trabalho virtual do Azure (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para o Application Insights (Microsoft.Insights/components) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Application Insights (Microsoft.Insights/components). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para provedores de atestado (microsoft.attestation/attestationproviders) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para provedores de Atestado (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para provedores de atestado (microsoft.attestation/attestationproviders) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para provedores de atestado (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para provedores de atestado (microsoft.attestation/attestationproviders) para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para provedores de Atestado (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Contas de Automação (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Contas de Automação (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Contas de Automação (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ativar o registo por grupo de categorias para nuvens privadas AVS (microsoft.avs/privateclouds) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para nuvens privadas do AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Ativar o registo por grupo de categorias para nuvens privadas AVS (microsoft.avs/privateclouds) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para nuvens privadas do AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ativar o registo por grupo de categorias para nuvens privadas AVS (microsoft.avs/privateclouds) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico utilizando um grupo de categorias para encaminhar registos para uma Conta de Armazenamento para nuvens privadas AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o log por grupo de categorias para o Cache Redis do Azure (microsoft.cache/redis) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Cache Redis do Azure (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para o Cache Redis do Azure (microsoft.cache/redis) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Cache Redis do Azure (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Cache Redis do Azure (microsoft.cache/redis) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento do Cache Redis do Azure (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o log por grupo de categorias para o Azure Cosmos DB (microsoft.documentdb/databaseaccounts) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Azure Machine Learning (microsoft.machinelearningservices/workspaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos do Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para o Azure Machine Learning (microsoft.machinelearningservices/workspaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Aprendizado de Máquina do Azure (microsoft.machinelearningservices/workspaces) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento do Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para registros de contêiner (microsoft.containerregistry/registries) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para registros de contêiner (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para registros de contêiner (microsoft.containerregistry/registries) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para registros de contêiner (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para registros de contêiner (microsoft.containerregistry/registries) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para registros de contêiner (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Domínios de Grade de Eventos (microsoft.eventgrid/domains) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Domínios de Grade de Eventos (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Domínios de Grade de Eventos (microsoft.eventgrid/domains) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Domínios de Grade de Eventos (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Domínios de Grade de Eventos (microsoft.eventgrid/domains) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Domínios de Grade de Eventos (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para namespaces de parceiros da grade de eventos (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Tópicos da Grade de Eventos (microsoft.eventgrid/topics) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Tópicos de Grade de Eventos (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Tópicos da Grade de Eventos (microsoft.eventgrid/topics) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Tópicos da Grade de Eventos (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Tópicos da Grade de Eventos (microsoft.eventgrid/topics) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Tópicos de Grade de Eventos (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces de Hubs de Eventos (microsoft.eventhub/namespaces) para o Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Namespaces de Hubs de Eventos (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces de Hubs de Eventos (microsoft.eventhub/namespaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para namespaces de Hubs de Eventos (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces de Hubs de Eventos (microsoft.eventhub/namespaces) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces de Hubs de Eventos (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para o Firewall (microsoft.network/azurefirewalls) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para perfis Front Door e CDN (microsoft.cdn/profiles) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis Front Door e CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.cdn/profiles) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para perfis Front Door e CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.cdn/profiles) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis Front Door e CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para o Aplicativo de Função (microsoft.web/sites) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Function App (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para Pool de hosts (microsoft.desktopvirtualization/hostpools) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o pool de hosts da Área de Trabalho Virtual do Azure (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Hub IoT (microsoft.devices/iothubs) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para o Hub IoT (microsoft.devices/iothubs) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Hub IoT (microsoft.devices/iothubs) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para cofres de chaves (microsoft.keyvault/vaults) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para espaços de trabalho do Log Analytics (microsoft.operationalinsights/workspaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para espaços de trabalho do Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para espaços de trabalho do Log Analytics (microsoft.operationalinsights/workspaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para espaços de trabalho do Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para espaços de trabalho do Log Analytics (microsoft.operationalinsights/workspaces) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para espaços de trabalho do Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para HSMs gerenciados (microsoft.keyvault/managedhsms) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para HSMs Gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para HSMs gerenciados (microsoft.keyvault/managedhsms) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para HSMs gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para HSMs gerenciados (microsoft.keyvault/managedhsms) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para HSMs Gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços de Mídia (microsoft.media/mediaservices) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Serviços de Mídia (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias dos Serviços de Mídia (microsoft.media/mediaservices) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Serviços de Mídia (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Serviços de Mídia (microsoft.media/mediaservices) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços de Mídia (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para contas do Microsoft Purview (microsoft.purview/accounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para contas do Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para contas do Microsoft Purview (microsoft.purview/accounts) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para contas do Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para contas do Microsoft Purview (microsoft.purview/accounts) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma conta de armazenamento para contas do Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.network/p2svpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para o servidor flexível PostgreSQL (microsoft.dbforpostgresql/flexibleservers) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o servidor flexível do Banco de Dados do Azure para PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Service Bus (microsoft.servicebus/namespaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Namespaces do Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Service Bus (microsoft.servicebus/namespaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para namespaces do Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Service Bus (microsoft.servicebus/namespaces) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces do Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para SignalR (microsoft.signalrservice/signalr) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para o SignalR (microsoft.signalrservice/signalr) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para SignalR (microsoft.signalrservice/signalr) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servidores/bancos de dados) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para bancos de dados SQL (microsoft.sql/servidores/bancos de dados). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servidores/bancos de dados) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para bancos de dados SQL (microsoft.sql/servidores/bancos de dados). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servidores/bancos de dados) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para bancos de dados SQL (microsoft.sql/servidores/bancos de dados). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para instâncias gerenciadas do SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para instâncias gerenciadas SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para instâncias gerenciadas SQL (microsoft.sql/managedinstances) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para instâncias gerenciadas SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Analisadores de Vídeo (microsoft.media/videoanalyzers) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Analisadores de Vídeo (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para Analisadores de Vídeo (microsoft.media/videoanalyzers) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Analisadores de Vídeo (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Analisadores de Vídeo (microsoft.media/videoanalyzers) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Analisadores de Vídeo (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Serviço Web PubSub (microsoft.signalrservice/webpubsub) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para o Serviço Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para o Serviço Web PubSub (microsoft.signalrservice/webpubsub) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Serviço Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para o Serviço Web PubSub (microsoft.signalrservice/webpubsub) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Serviço Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Espaço de trabalho (microsoft.desktopvirtualization/workspaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Espaço de Trabalho de Área de Trabalho Virtual do Azure (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| As máquinas habilitadas para Linux Arc devem ter o Azure Monitor Agent instalado | As máquinas habilitadas para Linux Arc devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Esta política auditará máquinas habilitadas para Arc em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 1.2.0 |
| Os conjuntos de dimensionamento de máquinas virtuais Linux devem ter o Azure Monitor Agent instalado | Os conjuntos de dimensionamento de máquinas virtuais Linux devem ser monitorados e protegidos por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Esta política auditará conjuntos de dimensionamento de máquinas virtuais com imagens de SO suportadas em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.2.0 |
| As máquinas virtuais Linux devem ter o Azure Monitor Agent instalado | As máquinas virtuais Linux devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Esta política irá auditar máquinas virtuais com imagens de SO suportadas em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.2.0 |
| A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1 |
| Os espaços de trabalho do Log Analytics devem bloquear a ingestão e consulta de logs de redes públicas | Melhore a segurança do espaço de trabalho bloqueando a ingestão de logs e consultas de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs neste espaço de trabalho. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-log-analytics. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os espaços de trabalho do Log Analytics devem bloquear a ingestão baseada no Ative Directory que não seja do Azure. | Impor a ingestão de logs para exigir a autenticação do Ative Directory do Azure impede logs não autenticados de um invasor, o que pode levar a status incorreto, alertas falsos e logs incorretos armazenados no sistema. | Negar, Auditar, Desativado | 1.0.0 |
| Os endereços IP públicos devem ter logs de recursos habilitados para a Proteção contra DDoS do Azure | Habilite logs de recursos para endereços IP públicos em configurações de diagnóstico para transmitir para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de ataques e das ações tomadas para mitigar ataques DDoS por meio de notificações, relatórios e logs de fluxo. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
| Os logs de recursos devem ser habilitados para Auditoria em recursos suportados | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. A existência de uma configuração de diagnóstico para Auditoria de grupo de categorias nos tipos de recursos selecionados garante que esses logs sejam habilitados e capturados. Os tipos de recursos aplicáveis são aqueles que suportam o grupo de categorias "Auditoria". | AuditIfNotExists, desativado | 1.0.0 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK | Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em servidores Linux habilitados para Azure Arc | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada nos servidores Linux habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em servidores Windows habilitados para Azure Arc | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada nos servidores Windows habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão do agente herdado em conjuntos de dimensionamento de máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em máquinas virtuais Linux | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada em máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em conjuntos de dimensionamento de máquinas virtuais | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada em conjuntos de dimensionamento de máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em máquinas virtuais | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada em máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | Esta política audita qualquer Conjunto de Dimensionamento de Máquina Virtual Windows/Linux se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | Relata máquinas virtuais como não compatíveis se elas não estiverem registrando no espaço de trabalho do Log Analytics especificado na atribuição de política/iniciativa. | AuditIfNotExists, desativado | 1.1.0 |
| As máquinas virtuais devem ter a extensão do Log Analytics instalada | Esta política audita quaisquer máquinas virtuais Windows/Linux se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas habilitadas para Windows Arc devem ter o Azure Monitor Agent instalado | As máquinas habilitadas para Windows Arc devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. As máquinas habilitadas para Windows Arc em regiões com suporte são monitoradas para implantação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 1.2.0 |
| Os conjuntos de dimensionamento de máquinas virtuais do Windows devem ter o Azure Monitor Agent instalado | Os conjuntos de dimensionamento de máquinas virtuais do Windows devem ser monitorados e protegidos por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Os conjuntos de dimensionamento de máquinas virtuais com SO suportado e em regiões suportadas são monitorizados para implementação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.2.0 |
| As máquinas virtuais do Windows devem ter o Azure Monitor Agent instalado | As máquinas virtuais do Windows devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. As máquinas virtuais do Windows com SO suportado e em regiões suportadas são monitorizadas para implementação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.2.0 |
| As pastas de trabalho devem ser salvas em contas de armazenamento que você controla | Com o traga seu próprio armazenamento (BYOS), suas pastas de trabalho são carregadas em uma conta de armazenamento que você controla. Isso significa que você controla a política de criptografia em repouso, a política de gerenciamento de tempo de vida e o acesso à rede. No entanto, será responsável pelos custos associados a essa conta de armazenamento. Para mais informações, visite https://aka.ms/workbooksByos | negar, negar, auditar, auditar, desativado, desativado | 1.1.0 |
Rede
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
| [Preview]: O Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Registro de Contêiner não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0-pré-visualização |
| Uma política IPsec/IKE personalizada deve ser aplicada a todas as conexões de gateway de rede virtual do Azure | Esta política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada de IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Auditoria, Desativado | 1.0.0 |
| Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo a partir de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre os pontos de extremidade do serviço de aplicativo, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desativado | 2.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Auditoria de rede virtual para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através da rede virtual. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| O Gateway de Aplicativo do Azure deve ser implantado com o Azure WAF | Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o Azure WAF. | Auditoria, Negar, Desativado | 1.0.0 |
| A política de firewall do Azure deve habilitar a inspeção TLS dentro das regras do aplicativo | A habilitação da inspeção TLS é recomendada para todas as regras de aplicativo para detetar, alertar e mitigar atividades maliciosas em HTTPS. Para saber mais sobre a inspeção TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall Premium do Azure deve configurar um certificado intermediário válido para habilitar a inspeção TLS | Configure um certificado intermediário válido e habilite a inspeção TLS Premium do Firewall do Azure para detetar, alertar e mitigar atividades maliciosas em HTTPS. Para saber mais sobre a inspeção TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Auditoria, Negar, Desativado | 1.0.0 |
| Os gateways de VPN do Azure não devem usar SKU 'básico' | Esta política garante que os gateways VPN não usem SKU 'básico'. | Auditoria, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure deve ter a inspeção de corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados aos Gateways de Aplicativo do Azure têm a inspeção de corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure na Porta da Frente do Azure deve ter a inspeção do corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados às Portas Frontais do Azure têm a inspeção do corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| A Proteção de Bot deve ser habilitada para o WAF do Gateway de Aplicativo do Azure | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Firewall de Aplicativo Web do Gateway de Aplicativo do Azure (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| A Proteção de Bot deve ser habilitada para o Azure Front Door WAF | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Azure Front Door Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| A lista de desvios do Sistema de Deteção e Prevenção de Intrusões (IDPS) deve estar vazia no Firewall Policy Premium | A Lista de Desvios do Sistema de Deteção e Prevenção de Intrusões (IDPS) permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass. No entanto, a ativação do IDPS é recomendada para todos os fluxos de tráfego para identificar melhor as ameaças conhecidas. Para saber mais sobre as assinaturas do Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps-signature | Auditoria, Negar, Desativado | 1.0.0 |
| Definir definições de diagnóstico para os Grupos de Segurança de Rede do Azure para a área de trabalho do Log Analytics | Implante configurações de diagnóstico nos Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se já tiver a análise de tráfego ativada, a política não substituirá suas configurações. Os Logs de Fluxo também estão habilitados para os grupos de segurança de Rede que não os têm. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar grupos de segurança de rede para usar espaço de trabalho, conta de armazenamento e política de retenção de fluxolog específicos para análise de tráfego | Se já tiver a análise de tráfego habilitada, a política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A análise de tráfego e os logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Esta política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.1 |
| Configurar redes virtuais para impor espaço de trabalho, conta de armazenamento e intervalo de retenção para logs de fluxo e análise de tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.2 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cosmos DB não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Ele permitirá registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com a rede virtual de destino | Configura o log de fluxo para uma rede virtual específica. Ele permitirá registrar informações sobre o tráfego IP fluindo através de uma rede virtual. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | DeployIfNotExists, desativado | 1.1.1 |
| Implantar o inspetor de rede quando redes virtuais são criadas | Esta política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do inspetor de rede. | DeployIfNotExists | 1.0.0 |
| Habilitar a regra de Limite de Taxa para proteger contra ataques DDoS no WAF da Porta da Frente do Azure | A regra de limite de taxa do Firewall de Aplicativo Web do Azure (WAF) para o Azure Front Door controla o número de solicitações permitidas de um determinado endereço IP do cliente para o aplicativo durante uma duração de limite de taxa. | Auditoria, Negar, Desativado | 1.0.0 |
| O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Hub de Eventos não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| A Política de Firewall Premium deve permitir que todas as regras de assinatura de IDPS monitorem todos os fluxos de tráfego de entrada e saída | A ativação de todas as regras de assinatura do Sistema de Deteção e Prevenção de Intrusões (IDPS) é recomendada para identificar melhor as ameaças conhecidas nos fluxos de tráfego. Para saber mais sobre as assinaturas do Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps-signature | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall Policy Premium deve ativar o Sistema de Deteção e Prevenção de Intrusões (IDPS) | A ativação do Sistema de Deteção e Prevenção de Intrusões (IDPS) permite-lhe monitorizar a sua rede em busca de atividades maliciosas, registar informações sobre esta atividade, denunciá-las e, opcionalmente, tentar bloqueá-las. Para saber mais sobre o Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps | Auditoria, Negar, Desativado | 1.0.0 |
| Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um security group de rede | Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | negar | 1.0.0 |
| O Cofre de Chaves deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cofre de Chaves não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| Migrar o WAF da configuração do WAF para a política do WAF no Application Gateway | Se você tiver WAF Config em vez de WAF Policy, então você pode querer mover para a nova WAF Policy. No futuro, a política de firewall suportará configurações de política WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem desativar o encaminhamento IP | Esta política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento IP desabilita a verificação do Azure da origem e do destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Esta política nega as interfaces de rede configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
| Os logs de fluxo do Inspetor de Rede devem ter a análise de tráfego habilitada | A análise de tráfego analisa os logs de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Ele pode ser usado para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender padrões de fluxo de tráfego, identificar configurações incorretas de rede e muito mais. | Auditoria, Desativado | 1.0.1 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer SQL Server não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| A assinatura deve configurar o Firewall Premium do Azure para fornecer camada adicional de proteção | O Firewall Premium do Azure fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados. Implante o Firewall Premium do Azure em sua assinatura e verifique se todo o tráfego de serviço está protegido pelo Firewall Premium do Azure. Para saber mais sobre o Azure Firewall Premium, visite https://aka.ms/fw-premium | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais devem ser conectadas a uma rede virtual aprovada | Esta política audita qualquer máquina virtual conectada a uma rede virtual que não seja aprovada. | Auditoria, Negar, Desativado | 1.0.0 |
| As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure | Proteja as suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para mais informações, visite https://aka.ms/ddosprotectiondocs. | Modificar, Auditar, Desativar | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. | AuditIfNotExists, desativado | 1.0.0 |
| Os gateways de VPN devem usar apenas a autenticação do Azure Ative Directory (Azure AD) para usuários ponto a site | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas identidades do Azure Ative Directory para autenticação. Saiba mais sobre a autenticação do Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| O Web Application Firewall (WAF) deve habilitar todas as regras de firewall para o Application Gateway | Habilitar todas as regras do Web Application Firewall (WAF) fortalece a segurança do aplicativo e protege os aplicativos Web contra vulnerabilidades comuns. Para saber mais sobre o Web Application Firewall (WAF) com o Application Gateway, visite https://aka.ms/waf-ag | Auditoria, Negar, Desativado | 1.0.1 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Application Gateway | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Application Gateway. | Auditoria, Negar, Desativado | 1.0.0 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Azure Front Door Service | Exige o uso do modo 'Detecção' ou 'Prevenção' para estar ativo em todas as políticas do Web Application Firewall para o Azure Front Door Service. | Auditoria, Negar, Desativado | 1.0.0 |
Portal
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os painéis compartilhados não devem ter blocos de marcação com conteúdo embutido | Não permita a criação de um painel compartilhado que tenha conteúdo embutido em blocos de marcação e imponha que o conteúdo seja armazenado como um arquivo de marcação hospedado online. Se você usar conteúdo embutido no bloco de marcação, não poderá gerenciar a criptografia do conteúdo. Ao configurar seu próprio armazenamento, você pode criptografar, criptografar duas vezes e até mesmo trazer suas próprias chaves. A habilitação desta política restringe os usuários a usar a versão 2020-09-01-preview ou superior da API REST de painéis compartilhados. | Auditoria, Negar, Desativado | 1.0.0 |
Resiliência
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Visualização]: O Serviço de Gerenciamento de API deve ser redundante de zona | O Serviço de Gerenciamento de API pode ser configurado para ser redundante de zona ou não. Um Serviço de Gerenciamento de API é Zona Redundante se seu nome de sku for 'Premium' e tiver pelo menos duas entradas em sua matriz de zonas. Esta política identifica os Serviços de Gerenciamento de API sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.1-Pré-visualização |
| [Pré-visualização]: Os Planos do Serviço de Aplicação devem ser Redundantes de Zona | Os Planos do Serviço de Aplicativo podem ser configurados para serem Redundantes de Zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, ela não é configurada para Redundância de Zona. Esta política identifica e impõe a configuração de Redundância de Zona para Planos do Serviço de Aplicativo. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: Os gateways de aplicativos devem ser resilientes à zona | Os gateways de aplicativos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Application Gatewaysmthat havenexatamente uma entrada em sua matriz de zonas são considerados Zone Aligned. Por outro lado, os Application Gatmways com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O Serviço de Pesquisa do Azure AI deve ser Zona Redundante | O Azure AI Search Service pode ser configurado para ser Zona Redundante ou não. As zonas de disponibilidade são usadas quando você adiciona duas ou mais réplicas ao seu serviço de pesquisa. Cada réplica é colocada em uma zona de disponibilidade diferente dentro da região. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Cache do Azure para Redis Enterprise & Flash deve ser Zona Redundante | O Cache do Azure para Redis Enterprise & Flash pode ser configurado para ser Zona Redundante ou não. O Cache do Azure para Redis Enterprise & instâncias Flash com menos de 3 entradas em sua matriz de zonas não são Redundantes de Zona. Esta política identifica o Cache do Azure para Redis Enterprise & instâncias Flash sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Cache Redis do Azure deve ser Zona Redundante | O Cache Redis do Azure pode ser configurado para ser Zona Redundante ou não. As instâncias do Cache do Azure para Redis com menos de 2 entradas em sua matriz de zonas não são redundantes de zona. Esta política identifica o Cache do Azure para instâncias Redis sem a redundância necessária para resistir a uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os Clusters do Azure Data Explorer devem ser Zona Redundante | Os Clusters do Azure Data Explorer podem ser configurados para serem Zona Redundante ou não. Um Cluster do Azure Data Explorer é considerado Zona Redundante se tiver pelo menos duas entradas em sua matriz de zonas. Esta política ajuda a garantir que os seus Clusters do Azure Data Explorer são Zona Redundante. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A Base de Dados do Azure para Servidor Flexível MySQL deve ser Resiliente à Zona | O Banco de Dados do Azure para Servidor Flexível MySQL pode ser configurado para ser Alinhado por Zona, Zona Redundante ou nenhum. O MySQL Server que tem um servidor em espera selecionado na mesma zona para alta disponibilidade é considerado Zona Alinhada. Em contraste, o MySQL Server que tem um servidor em espera selecionado para estar em uma zona diferente para alta disponibilidade é reconhecido como Zona redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A Base de Dados do Azure para Servidor Flexível PostgreSQL deve ser Resiliente a Zona | O Banco de Dados do Azure para Servidor Flexível PostgreSQL pode ser configurado para ser Alinhado por Zona, Zona Redundante ou nenhum. O PostgreSQL Server que tem um servidor em espera selecionado na mesma zona para alta disponibilidade é considerado Zona Alinhada. Por outro lado, o PostgreSQL Server que tem um servidor em espera selecionado para estar em uma zona diferente para alta disponibilidade é reconhecido como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O Azure HDInsight deve estar alinhado com a zona | O Azure HDInsight pode ser configurado para estar alinhado à zona ou não. O Azure HDInsight que tem exatamente uma entrada em sua matriz de zonas é considerado Zona Alinhada. Esta política garante que um cluster do Azure HDInsight esteja configurado para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os Clusters Geridos pelo Serviço Kubernetes do Azure devem ser Redundantes de Zona | Os Clusters Gerenciados do Serviço Kubernetes do Azure podem ser configurados para serem Redundantes de Zona ou não. A política verifica os pools de nós no cluster e garante que as zonas de disponibilidade sejam definidas para todos os pools de nós. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Azure Managed Grafana deve ser Zona Redundante | O Azure Managed Grafana pode ser configurado para ser Zona Redundante ou não. Uma instância do Azure Managed Grafana é Zone Redundant e a propriedade 'zoneRedundancy' está definida como 'Enabled'. A aplicação dessa política ajuda a garantir que seu Azure Managed Grafana seja configurado adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: Backup e recuperação de site devem ser redundantes de zona | O Backup e a Recuperação de Site podem ser configurados como Zona Redundante ou não. Backup e recuperação de site é redundante de zona se a propriedade 'standardTierStorageRedundancy' estiver definida como 'ZoneRedundant'. A aplicação dessa política ajuda a garantir que o Backup e a Recuperação de Site sejam configurados adequadamente para a resiliência da zona, reduzindo o risco de tempo de inatividade durante interrupções na zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os cofres de backup devem ser redundantes de zona | Os cofres de backup podem ser configurados para serem redundantes de zona ou não. Os cofres de backup são redundantes de zona se o tipo de configurações de armazenamento estiver definido como 'ZoneRedundant' e forem considerados resilientes. Os cofres de backup com redundância geográfica ou localmente redundantes não são considerados resilientes. A aplicação dessa política ajuda a garantir que os cofres de backup sejam configurados adequadamente para resiliência da zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A aplicação de contentor deve ser redundante em termos de zona | O aplicativo de contêiner pode ser configurado para ser redundante de zona ou não. Um Aplicativo de Contêiner será Zona Redundante se a propriedade 'ZoneRedundant' do ambiente gerenciado estiver definida como true. Esta política identifica o Aplicativo de Contêiner sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Visualização]: As instâncias de contêiner devem estar alinhadas à zona | As instâncias de contêiner podem ser configuradas para serem alinhadas por zona ou não. Eles são considerados alinhados por zona se tiverem apenas uma entrada em sua matriz de zonas. Essa política garante que eles estejam configurados para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: O Registro de Contêiner deve ser redundante de zona | O Registro de Contêiner pode ser configurado para ser Zona Redundante ou não. Quando a propriedade zoneRedundancy para um Registro de Contêiner é definida como 'Desabilitado', isso significa que o Registro não é Redundante de Zona. A aplicação dessa política ajuda a garantir que seu Registro de Contêiner seja configurado adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: Contas de banco de dados Cosmos devem ser redundantes de zona | As Contas de Banco de Dados Cosmos podem ser configuradas para serem Zona Redundante ou não. Se o 'enableMultipleWriteLocations' estiver definido como 'true', todos os locais devem ter uma propriedade 'isZoneRedundant' e ela deve ser definida como 'true'. Se o 'enableMultipleWriteLocations' estiver definido como 'false', o local principal ('failoverPriority' definido como 0) deve ter uma propriedade 'isZoneRedundant' e deve ser definido como 'true'. A aplicação dessa política garante que as Contas de Banco de Dados Cosmos sejam configuradas adequadamente para redundância de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os Hubs de Eventos devem ser Redundantes de Zona | Os Hubs de Eventos podem ser configurados para serem Zona Redundante ou não. Os Hubs de Eventos são Zona Redundante se a propriedade 'zoneRedundant' estiver definida como 'true'. A aplicação dessa política ajuda a garantir que os Hubs de Eventos sejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: Os firewalls devem ser resilientes à zona | Os firewalls podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os firewalls que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Por outro lado, firewalls com 3 ou mais entradas em sua matriz de zonas são reconhecidos como redundantes de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os load balancers devem ser resilientes à zona | Os balanceadores de carga com uma sku diferente de Basic herdam a resiliência dos endereços IP públicos em seu frontend. Quando combinada com a política "Os endereços IP públicos devem ser resilientes à zona", esta abordagem garante a redundância necessária para resistir a uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os discos geridos devem ser resilientes à zona | Os Discos Gerenciados podem ser configurados para Alinhamento por Zona, Zona Redundante ou nenhum. Os Discos Gerenciados com exatamente uma atribuição de zona são Zona Alinhada. Os discos gerenciados com um nome de sku que termina em ZRS são redundantes de zona. Essa política ajuda a identificar e aplicar essas configurações de resiliência para Managed Disks. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O gateway NAT deve estar alinhado por zona | O gateway NAT pode ser configurado para estar alinhado à zona ou não. O gateway NAT que tem exatamente uma entrada em sua matriz de zonas é considerado Zona Alinhada. Essa política garante que um gateway NAT esteja configurado para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os endereços IP públicos devem ser resilientes à zona | Os endereços IP públicos podem ser configurados para estarem alinhados com zona, redundantes de zona ou nenhum. Os endereços IP públicos que são regionais, com exatamente uma entrada em sua matriz de zonas, são considerados Zona Alinhada. Por outro lado, os endereços IP públicos que são regionais, com 3 ou mais entradas em sua matriz de zonas, são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Os prefixos IP públicos devem ser resilientes à zona | Os prefixos IP públicos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os prefixos IP públicos que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Em contraste, prefixos IP públicos com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O Barramento de Serviço deve ser redundante de zona | O Service Bus pode ser configurado para ser redundante de zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Service Bus, isso significa que ela não está configurada para Redundância de Zona. Esta política identifica e impõe a configuração de Redundância de Zona para instâncias do Service Bus. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os clusters do Service Fabric devem ser redundantes de zona | Os Clusters do Service Fabric podem ser configurados para serem Redundantes de Zona ou não. Os clusters do Servicefabric cujo nodeType não tem as multipleAvailabilityZones definidas como true não são redundantes de zona. Esta política identifica clusters do Servicefabric sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: Bancos de dados SQL devem ser redundantes de zona | Os Bancos de Dados SQL podem ser configurados para serem Zona Redundante ou não. Os bancos de dados com a configuração 'zoneRedundant' definida como 'false' não são configurados para redundância de zona. Essa política ajuda a identificar bancos de dados SQL que precisam de configuração de redundância de zona para melhorar a disponibilidade e a resiliência no Azure. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Visualização]: Os pools de banco de dados elásticos SQL devem ser redundantes de zona | Os pools de bancos de dados elásticos SQL podem ser configurados para serem redundantes de zona ou não. Os pools de bancos de dados elásticos do SQL são redundantes de zona se a propriedade 'zoneRedundant' estiver definida como 'true'. A aplicação dessa política ajuda a garantir que os Hubs de Eventos sejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: Instâncias gerenciadas SQL devem ser redundantes de zona | As Instâncias Gerenciadas SQL podem ser configuradas para serem Redundantes de Zona ou não. As instâncias com a configuração 'zoneRedundant' definida como 'false' não são configuradas para redundância de zona. Esta política ajuda a identificar SQL managedInstances que precisam de configuração de redundância de zona para melhorar a disponibilidade e a resiliência no Azure. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: As contas de armazenamento devem ser redundantes de zona | As Contas de Armazenamento podem ser configuradas para serem Redundantes de Zona ou não. Se o nome SKU de uma conta de armazenamento não terminar com 'ZRS' ou seu tipo for 'Armazenamento', ele não será redundante de zona. Essa política garante que suas contas de armazenamento usem a configuração redundante de zona ae. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os conjuntos de escala de máquina virtual devem ser resilientes à zona | Os Conjuntos de Dimensionamento de Máquina Virtual podem ser configurados para estarem alinhados por zona, redundantes de zona ou nenhum. Os Conjuntos de Escala de Máquina Virtual que têm exatamente uma entrada em sua matriz de zonas são considerados Alinhamento de Zona. Por outro lado, os Conjuntos de Dimensionamento de Máquina Virtual com 3 ou mais entradas em sua matriz de zonas e uma capacidade de pelo menos 3 são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: As máquinas virtuais devem estar alinhadas por zona | As máquinas virtuais podem ser configuradas para estarem alinhadas por zona ou não. Eles são considerados alinhados por zona se tiverem apenas uma entrada em sua matriz de zonas. Essa política garante que eles estejam configurados para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os gateways de rede virtual devem ser redundantes de zona | Os gateways de rede virtual podem ser configurados para serem redundantes de zona ou não. Os gateways de rede virtual cujo nome ou camada de SKU não termina com 'AZ' não são redundantes de zona. Esta política identifica gateways de rede virtual sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
Pesquisar
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços de Pesquisa Cognitiva do Azure devem ter métodos de autenticação local desativados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os serviços de Pesquisa Cognitiva do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. Observe que, embora o parâmetro desabilitar autenticação local ainda esteja em visualização, o efeito de negação para esta política pode resultar em funcionalidade limitada do portal de Pesquisa Cognitiva do Azure, uma vez que alguns recursos do Portal usam a API do GA, que não oferece suporte ao parâmetro. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços de Pesquisa Cognitiva do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seus serviços de Pesquisa Cognitiva do Azure fornece controle adicional sobre a chave usada para criptografar dados em repouso. Esse recurso geralmente é aplicável a clientes com requisitos especiais de conformidade para gerenciar chaves de criptografia de dados usando um cofre de chaves. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure para desativar a autenticação local | Desabilite os métodos de autenticação local para que seus serviços de Pesquisa Cognitiva do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. | Modificar, Desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure para desativar o acesso à rede pública | Desabilite o acesso à rede pública para seu serviço de Pesquisa Cognitiva do Azure para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modificar, Desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o seu serviço de Pesquisa Cognitiva do Azure. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu serviço de Pesquisa Cognitiva do Azure, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Centro de Segurança
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas Linux Arc | Instale o agente de Segurança do Azure em suas máquinas Linux Arc para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nos seus conjuntos de dimensionamento de máquinas virtuais Linux | Instale o agente de Segurança do Azure em seus conjuntos de escala de máquina virtual Linux para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais Linux | Instale o agente de Segurança do Azure em suas máquinas virtuais Linux para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas Windows Arc | Instale o agente de Segurança do Azure em suas máquinas Windows Arc para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: o agente de Segurança do Azure deve ser instalado nos conjuntos de dimensionamento da máquina virtual do Windows | Instale o agente de Segurança do Azure em seus conjuntos de dimensionamento de máquina virtual do Windows para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: o agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais do Windows | Instale o agente de Segurança do Azure em suas máquinas virtuais do Windows para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Preview]: A extensão ChangeTracking deve ser instalada na sua máquina Linux Arc | Instale a Extensão ChangeTracking em máquinas Linux Arc para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Linux | Instale a Extensão ChangeTracking em máquinas virtuais Linux para habilitar o FIM (Monitoramento de Integridade de Arquivos) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: A extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquina virtual Linux | Instale a Extensão ChangeTracking em conjuntos de dimensionamento de máquina virtual Linux para habilitar o FIM (Monitoramento de Integridade de Arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve ser instalada na sua máquina Windows Arc | Instale a Extensão ChangeTracking em máquinas Windows Arc para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Windows | Instale a Extensão ChangeTracking em máquinas virtuais do Windows para habilitar o FIM (Monitoramento de Integridade de Arquivos) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve ser instalada nos conjuntos de dimensionamento da máquina virtual do Windows | Instale a Extensão ChangeTracking em conjuntos de dimensionamento de máquina virtual do Windows para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar o agente do Azure Defender para SQL na máquina virtual | Configure máquinas Windows para instalar automaticamente o agente do Azure Defender for SQL onde o Azure Monitor Agent está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho do Log Analytics na mesma região da máquina. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para máquinas Linux Arc | Configure máquinas Linux Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquina virtual Linux | Configure conjuntos de dimensionamento de máquina virtual Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para máquinas virtuais Linux | Configure máquinas virtuais Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para máquinas Windows Arc | Configure máquinas Windows Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (File Integrity Monitoring) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Windows | Configure conjuntos de dimensionamento de máquina virtual do Windows para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar a extensão ChangeTracking para máquinas virtuais Windows | Configure máquinas virtuais do Windows para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (File Integrity Monitoring) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Linux Arc suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Linux Arc suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas Linux Arc de destino devem estar em um local suportado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente o agente de Segurança do Azure | Configure conjuntos de dimensionamento de máquina virtual Linux suportados para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configure conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente a extensão Guest Attestation | Configure conjuntos de dimensionamento de máquinas virtuais Linux suportadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 6.1.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Linux suportadas para ativar automaticamente o Arranque Seguro | Configure máquinas virtuais Linux suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações maliciosas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 5.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Linux suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas virtuais Linux suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 7.0.0-pré-visualização |
| [Preview]: Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation | Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 7.1.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais suportadas para ativar automaticamente o vTPM | Configure máquinas virtuais suportadas para habilitar automaticamente o vTPM para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Windows Arc suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Windows Arc suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas Windows Arc de destino devem estar em um local compatível. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Windows suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 5.1.0-Pré-visualização |
| [Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais do Windows suportados para instalar automaticamente o agente de Segurança do Azure | Configure conjuntos de dimensionamento de máquina virtual do Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os conjuntos de dimensionamento de máquinas virtuais do Windows de destino devem estar em um local compatível. | DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais Windows suportados para instalar automaticamente a extensão Atestado de Convidado | Configure os conjuntos de dimensionamento de máquinas virtuais do Windows com suporte para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 4.1.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Windows suportadas para ativar automaticamente o Arranque Seguro | Configure as máquinas virtuais do Windows suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 3.0.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Windows suportadas para instalar automaticamente a extensão Atestado de Convidado | Configure máquinas virtuais do Windows com suporte para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 5.1.0-Pré-visualização |
| [Pré-visualização]: Configure VMs criadas com imagens da Galeria de Imagens Partilhadas para instalar a extensão Atestado de Convidado | Configure máquinas virtuais criadas com imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configure o VMSS criado com imagens da Galeria de Imagens Partilhadas para instalar a extensão Atestado de Convidado | Configure o VMSS criado com imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Visualização]: Implantar o agente do Microsoft Defender for Endpoint em máquinas híbridas Linux | Implanta o agente Microsoft Defender for Endpoint em máquinas híbridas Linux | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Pré-visualização]: Implementar o agente do Microsoft Defender for Endpoint em máquinas virtuais Linux | Implanta o agente do Microsoft Defender for Endpoint em imagens de VM Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
| [Preview]: Implantar o agente do Microsoft Defender for Endpoint em máquinas Windows Azure Arc | Implanta o Microsoft Defender for Endpoint em máquinas Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Pré-visualização]: Implementar o Microsoft Defender for Endpoint agent em máquinas virtuais Windows | Implanta o Microsoft Defender for Endpoint em imagens de VM do Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
| [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 5.1.0-Pré-visualização |
| [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 4.0.0-Pré-visualização |
| [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 3.1.0-Pré-visualização |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar apenas componentes de arranque assinados e fidedignos | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender for Cloud identificou componentes de inicialização do sistema operacional não confiáveis em uma ou mais de suas máquinas Linux. Para proteger as suas máquinas de componentes potencialmente maliciosos, adicione-os à sua lista de permissões ou remova os componentes identificados. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar o Arranque Seguro | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização Segura garante que apenas os sistemas operacionais e drivers assinados terão permissão para serem executados. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: As máquinas devem ter portas fechadas que possam expor vetores de ataque | Os Termos de Utilização do Azure proíbem a utilização dos serviços do Azure de formas que possam danificar, desativar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. As portas expostas identificadas por esta recomendação precisam ser fechadas para sua segurança contínua. Para cada porto identificado, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | Auditoria, Desativado | 4.0.0-Pré-visualização |
| [Pré-visualização]: As atualizações do sistema devem ser instaladas nas suas máquinas (alimentado pelo Centro de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O estado do atestado de convidado de máquinas virtuais deve estar saudável | O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detetar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infeção por bootkit ou rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Inicialização Confiável que tenham a extensão Atestado de Convidado instalada. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável. | Auditoria, Desativado | 2.0.0-pré-visualização |
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas | Habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das regras, a Central de Segurança usa o aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos. | AuditIfNotExists, desativado | 3.0.0 |
| As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet | A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial | AuditIfNotExists, desativado | 3.0.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas | Monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativo adaptáveis da Central de Segurança do Azure. A Central de Segurança usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desativado | 3.0.0 |
| Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça da API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desativado | 1.0.1 |
| Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas podem ter sido acidentalmente deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desativado | 1.0.1 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar vulnerabilidades e ameaças de segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Recomendamos habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e em quaisquer novas que sejam criadas. | AuditIfNotExists, desativado | 1.0.1 |
| A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado | O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for SQL deve ser habilitado para servidores flexíveis PostgreSQL desprotegidos | Audite servidores flexíveis PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
| As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desativado | 1.0.1 |
| O RBAC (Controle de Acesso Baseado em Função) do Azure deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.3 |
| O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desativado | 1.0.1 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função do Serviço de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a nenhuma vulnerabilidade do sistema operacional. | AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter uma solução de proteção de ponto de extremidade instalada | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) contra ameaças e vulnerabilidades, garantindo que uma solução de proteção de endpoint esteja instalada nelas. | AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de função Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) garantindo que as atualizações críticas e de segurança mais recentes sejam instaladas nelas. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar a Proteção Avançada contra Ameaças para ser habilitada no banco de dados do Azure para servidores flexíveis MySQL | Habilite a Proteção Avançada contra Ameaças em seu banco de dados do Azure para servidores flexíveis do MySQL para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar a Proteção Avançada contra Ameaças para ser habilitada no banco de dados do Azure para servidores flexíveis PostgreSQL | Habilite a Proteção Avançada contra Ameaças em seu banco de dados do Azure para servidores flexíveis PostgreSQL para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em seus SQL Servers habilitados para Windows Arc. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL | Configure os SQL Servers habilitados para Windows Arc para instalar automaticamente o agente do Microsoft Defender for SQL. O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desativado | 1.2.0 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL e DCR com um espaço de trabalho do Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.3.0 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL e DCR com um espaço de trabalho LA definido pelo usuário | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Coleta de Dados na mesma região do espaço de trabalho do Log Analytics definido pelo usuário. | DeployIfNotExists, desativado | 1.4.0 |
| Configurar SQL Servers habilitados para Arc com Associação de Regra de Coleta de Dados ao Microsoft Defender for SQL DCR | Configure a associação entre SQL Servers habilitados para Arc e o Microsoft Defender for SQL DCR. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar SQL Servers habilitados para Arc com Associação de Regra de Coleta de Dados ao DCR definido pelo usuário do Microsoft Defender for SQL | Configure a associação entre SQL Servers habilitados para Arc e o DCR definido pelo usuário do Microsoft Defender for SQL. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.2.0 |
| Configure o Azure Defender para Serviço de Aplicações como ativado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | DeployIfNotExists, desativado | 1.0.1 |
| Configure o Azure Defender para base de dados SQL do Azure como ativado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desativado | 1.0.1 |
| Configure o Azure Defender para bases de dados relacionais open-source como ativado | O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender para o Resource Manager como ativado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | DeployIfNotExists, desativado | 1.1.0 |
| Configure o Azure Defender para Servidores como ativados | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | DeployIfNotExists, desativado | 1.0.1 |
| Configure o Azure Defender para servidores SQL em máquinas como ativado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar o Microsoft Defender básico para armazenamento a ser habilitado (somente Monitoramento de Atividades) | O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Essa política habilitará os recursos básicos do Defender for Storage (Monitoramento de atividades). Para habilitar a proteção total, que também inclui a verificação de malware ao carregar e a deteção de ameaças de dados confidenciais, use a política de habilitação completa: aka.ms/DefenderForStoragePolicy. Para saber mais sobre os recursos e benefícios do Defender for Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar máquinas para receber um provedor de avaliação de vulnerabilidade | O Azure Defender inclui a verificação de vulnerabilidades para suas máquinas sem custo extra. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança. Quando você habilita essa política, o Azure Defender implanta automaticamente o provedor de avaliação de vulnerabilidades do Qualys em todas as máquinas com suporte que ainda não o têm instalado. | DeployIfNotExists, desativado | 4.0.0 |
| Configurar o plano CSPM do Microsoft Defender | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | DeployIfNotExists, desativado | 1.0.0 |
| Configure o GPSC do Microsoft Defender como ativado | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | DeployIfNotExists, desativado | 1.0.2 |
| Configure o Microsoft Defender para o Azure Cosmos DB como ativado | O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o plano do Microsoft Defender for Containers | Novos recursos estão sendo continuamente adicionados ao plano Defender for Containers, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Microsoft Defender para Contentores como ativados | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | DeployIfNotExists, desativado | 1.0.1 |
| Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura as configurações de integração do Microsoft Defender for Endpoint, dentro do Microsoft Defender for Cloud (também conhecido como WDATP_EXCLUDE_LINUX_...), para habilitar o provisionamento automático de servidores MDE para Linux. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura as configurações de integração do Microsoft Defender for Endpoint, no Microsoft Defender for Cloud (também conhecido como WDATP_UNIFIED_SOLUTION), para habilitar o provisionamento automático do MDE Unified Agent para Windows Server 2012R2 e 2016. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP) | Configura as configurações de integração do Microsoft Defender for Endpoint, dentro do Microsoft Defender for Cloud (também conhecido como WDATP), para máquinas de nível inferior do Windows integradas ao MDE via MMA e provisionamento automático de MDE no Windows Server 2019, Windows Virtual Desktop e superior. Deve ser ativado para que as outras configurações (WDATP_UNIFIED, etc.) funcionem. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o plano Microsoft Defender for Key Vault | O Microsoft Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança, detetando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar o plano do Microsoft Defender para Servidores | Novos recursos estão sendo continuamente adicionados ao Defender for Servers, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Microsoft Defender para SQL para ser habilitado em espaços de trabalho Synapse | Habilite o Microsoft Defender for SQL em seus espaços de trabalho do Azure Synapse para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados SQL. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Microsoft Defender para armazenamento (Clássico) para ser habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | DeployIfNotExists, desativado | 1.0.2 |
| Configurar o Microsoft Defender para que o armazenamento seja habilitado | O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Essa política habilitará todos os recursos do Defender for Storage; Monitoramento de atividades, verificação de malware e deteção de ameaças de dados confidenciais. Para saber mais sobre os recursos e benefícios do Defender for Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar Máquinas Virtuais SQL para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em suas Máquinas Virtuais SQL do Windows. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0 |
| Configurar máquinas virtuais SQL para instalar automaticamente o Microsoft Defender for SQL | Configure as Máquinas Virtuais do Windows SQL para instalar automaticamente a extensão Microsoft Defender for SQL. O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desativado | 1.3.0 |
| Configurar máquinas virtuais SQL para instalar automaticamente o Microsoft Defender para SQL e DCR com um espaço de trabalho do Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.4.0 |
| Configurar máquinas virtuais SQL para instalar automaticamente o Microsoft Defender para SQL e DCR com um espaço de trabalho LA definido pelo usuário | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Coleta de Dados na mesma região do espaço de trabalho do Log Analytics definido pelo usuário. | DeployIfNotExists, desativado | 1.4.0 |
| Configurar o espaço de trabalho do Microsoft Defender for SQL Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.2.0 |
| Criar e atribuir uma identidade gerenciada atribuída pelo usuário interna | Crie e atribua uma identidade gerenciada interna atribuída pelo usuário em escala para máquinas virtuais SQL. | AuditIfNotExists, DeployIfNotExists, desativado | 1.4.0 |
| Implantar - Configurar regras de supressão para alertas da Central de Segurança do Azure | Suprima os alertas da Central de Segurança do Azure para reduzir a fadiga dos alertas implantando regras de supressão em seu grupo de gerenciamento ou assinatura. | deployIfNotExists | 1.0.0 |
| Implantar a exportação para o Hub de Eventos como um serviço confiável para dados do Microsoft Defender for Cloud | Habilite a exportação para o Hub de Eventos como um serviço confiável de dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para o Hub de Eventos como uma configuração de serviço confiável com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar a exportação para o Hub de Eventos para dados do Microsoft Defender for Cloud | Habilite a exportação para o Hub de Eventos dos dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para a configuração do Hub de Eventos com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.2.0 |
| Implantar exportação para o espaço de trabalho do Log Analytics para dados do Microsoft Defender for Cloud | Habilite a exportação para o espaço de trabalho do Log Analytics dos dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para a configuração do espaço de trabalho do Log Analytics com suas condições e espaço de trabalho de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.1.0 |
| Implementar a Automatização de Fluxo de Trabalho para alertas do Microsoft Defender para Cloud | Habilite a automação de alertas do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Implementar a Automatização de Fluxo de Trabalho para recomendações do Microsoft Defender para Cloud | Habilite a automação das recomendações do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Implantar a automação do fluxo de trabalho para conformidade regulatória do Microsoft Defender for Cloud | Habilite a automação da conformidade regulatória do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.1.0 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
| Habilite o Microsoft Defender for Cloud em sua assinatura | Identifica assinaturas existentes que não são monitoradas pelo Microsoft Defender for Cloud e as protege com os recursos gratuitos do Defender for Cloud. As subscrições já monitorizadas serão consideradas conformes. Para registrar assinaturas recém-criadas, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 1.0.1 |
| Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com espaço de trabalho personalizado. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um espaço de trabalho personalizado. | DeployIfNotExists, desativado | 1.0.0 |
| Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com o espaço de trabalho padrão. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando o espaço de trabalho padrão ASC. | DeployIfNotExists, desativado | 1.0.0 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade suportadas pela Central de Segurança do Azure estão documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de pontos finais está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desativado | 1.0.0 |
| O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada. | AuditIfNotExists, desativado | 1.0.0 |
| A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual | Audite a existência e a integridade de uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desativado | 3.0.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Auditoria, Desativado | 1.0.2 |
| O agente do Log Analytics deve ser instalado em suas instâncias de função de Serviços de Nuvem (suporte estendido) | A Central de Segurança coleta dados de suas instâncias de função de Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 2.0.0 |
| O agente do Log Analytics deve ser instalado em sua máquina virtual para monitoramento da Central de Segurança do Azure | Esta política audita quaisquer máquinas virtuais (VMs) Windows/Linux se o agente do Log Analytics não estiver instalado, que a Central de Segurança usa para monitorar vulnerabilidades e ameaças de segurança | AuditIfNotExists, desativado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquina virtual para monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 1.0.0 |
| Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Defender CSPM deve ser habilitado | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender para APIs deve estar habilitado | O Microsoft Defender para APIs traz novas descobertas, proteção, deteção, cobertura de resposta de & para monitorar ataques comuns baseados em API ou configurações incorretas de segurança. | AuditIfNotExists, desativado | 1.0.3 |
| O Microsoft Defender para Azure Cosmos DB deve ser habilitado | O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender para SQL deve ser habilitado para espaços de trabalho Synapse desprotegidos | Habilite o Defender for SQL para proteger seus espaços de trabalho Synapse. O Defender for SQL monitora seu Synapse SQL para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desativado | 1.0.0 |
| O status do Microsoft Defender for SQL deve ser protegido para SQL Servers habilitados para Arc | O Microsoft Defender for SQL fornece funcionalidade para detetar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL, descobrir e classificar dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando o Defender está habilitado, várias definições de configuração devem ser validadas no agente, na máquina, no espaço de trabalho e no servidor SQL para garantir a proteção ativa. | Auditoria, Desativado | 1.0.1 |
| O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O nível de preço padrão da Central de Segurança deve ser selecionado | A camada de preço padrão permite a deteção de ameaças para redes e máquinas virtuais, fornecendo inteligência de ameaças, deteção de anomalias e análise de comportamento na Central de Segurança do Azure | Auditoria, Desativado | 1.1.0 |
| Configurar subscrições para fazer a transição para uma solução alternativa de avaliação de vulnerabilidades | O Microsoft Defender para nuvem oferece verificação de vulnerabilidades para suas máquinas sem custo extra. Habilitar essa política fará com que o Defender for Cloud propague automaticamente as descobertas da solução de gerenciamento de vulnerabilidades interna do Microsoft Defender para todas as máquinas suportadas. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de máquinas | Para garantir que suas VMs SQL e SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento do Azure direcionado para SQL está configurado para implantação automática. Isso também é necessário se você configurou anteriormente o provisionamento automático do Microsoft Monitoring Agent, pois esse componente está sendo preterido. Saiba mais: https://aka.ms/SQLAMAMigration | AuditIfNotExists, desativado | 1.0.0 |
| Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | Auditar se existem atualizações de segurança do sistema e atualizações críticas em falta que devem ser instaladas, para garantir que os conjuntos de dimensionamento de máquinas virtuais do Windows e Linux são seguros. | AuditIfNotExists, desativado | 3.0.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Discos temporários, caches de dados e dados que fluem entre computação e armazenamento não são criptografados. Não tenha em conta esta recomendação se: 1. usando criptografia no host ou 2. A criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em: Criptografia do lado do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse, Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desativado | 2.0.3 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
| As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | Audite vulnerabilidades na configuração de segurança em máquinas com o Docker instalado e exiba como recomendações na Central de Segurança do Azure. | AuditIfNotExists, desativado | 3.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
| As vulnerabilidades na configuração de segurança em seus conjuntos de dimensionamento de máquina virtual devem ser corrigidas | Audite as vulnerabilidades do sistema operacional em seus conjuntos de dimensionamento de máquina virtual para protegê-los de ataques. | AuditIfNotExists, desativado | 3.0.0 |
Central de Segurança - Preços granulares
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar o Azure Defender para que os Servidores sejam desabilitados para todos os recursos (nível de recurso) | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política desativará o plano do Defender for Servers para todos os recursos (VMs, VMSSs e máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers a ser desabilitado para recursos (nível de recurso) com a tag selecionada | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política desativará o plano do Defender for Servers para todos os recursos (VMs, VMSSs e Máquinas ARC) que tenham o nome e o(s) valor(es) da tag selecionados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers para ser habilitado (subplano 'P1') para todos os recursos (nível de recurso) com a tag selecionada | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política habilitará o plano do Defender for Servers (com o subplano 'P1') para todos os recursos (VMs e Máquinas ARC) que tenham o nome e o(s) valor(es) da tag selecionado(s). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers a ser habilitado (com o subplano 'P1') para todos os recursos (nível de recurso) | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política habilitará o plano do Defender for Servers (com subplano 'P1') para todos os recursos (VMs e máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desativado | 1.0.0 |
Service Bus
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as regras de autorização, exceto RootManageSharedAccessKey, devem ser removidas do namespace do Service Bus | Os clientes do Service Bus não devem usar uma política de acesso em nível de namespace que forneça acesso a todas as filas e tópicos em um namespace. Para alinhar com o modelo de segurança de privilégios mínimos, você deve criar políticas de acesso no nível da entidade para filas e tópicos para fornecer acesso apenas à entidade específica | Auditoria, Negar, Desativado | 1.0.1 |
| Os namespaces do Barramento de Serviço do Azure devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os namespaces do Barramento de Serviço do Azure exijam exclusivamente identidades de ID do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Auditoria, Negar, Desativado | 1.0.1 |
| Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar namespaces do Barramento de Serviço do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seus namespaces do Azure ServiceBus exijam exclusivamente identidades de ID do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Modificar, Desativado | 1.0.1 |
| Configurar namespaces do Service Bus para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para namespaces do Service Bus. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar namespaces do Service Bus com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para namespaces do Service Bus, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os namespaces do Service Bus devem desabilitar o acesso à rede pública | O Barramento de Serviço do Azure deve ter o acesso à rede pública desabilitado. A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Auditoria, Negar, Desativado | 1.1.0 |
| Os namespaces do Service Bus devem ter criptografia dupla habilitada | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 1.0.0 |
| Os namespaces Premium do Service Bus devem usar uma chave gerenciada pelo cliente para criptografia | O Barramento de Serviço do Azure dá suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Service Bus usará para criptografar dados em seu namespace. Observe que o Service Bus só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Auditoria, Desativado | 1.0.0 |
Service Fabric
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
SignalR
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Serviço Azure SignalR deve desativar o acesso à rede pública | Para melhorar a segurança do recurso do Serviço SignalR do Azure, certifique-se de que ele não esteja exposto à Internet pública e só possa ser acessado a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/asrs/networkacls. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.1.0 |
| O Serviço Azure SignalR deve habilitar logs de diagnóstico | Auditoria habilitação de logs de diagnóstico. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure SignalR deve ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que o Serviço Azure SignalR exija exclusivamente identidades do Azure Ative Directory para autenticação. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar uma SKU habilitada para Link Privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino, o que protege seus recursos contra riscos de vazamento de dados públicos. A política limita você a SKUs habilitadas para Link Privado para o Serviço Azure SignalR. Saiba mais sobre o link privado em: https://aka.ms/asrs/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
| Configurar o Serviço Azure SignalR para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seu Serviço Azure SignalR exija exclusivamente identidades do Azure Ative Directory para autenticação. | Modificar, Desativado | 1.0.0 |
| Configurar pontos de extremidade privados para o Serviço Azure SignalR | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para recursos do Serviço Azure SignalR, você pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/asrs/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar zonas DNS privadas para pontos de extremidade privados se conectarem ao Serviço Azure SignalR | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o recurso do Serviço Azure SignalR. Saiba mais em: https://aka.ms/asrs/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Modificar recursos do Serviço Azure SignalR para desabilitar o acesso à rede pública | Para melhorar a segurança do recurso do Serviço SignalR do Azure, certifique-se de que ele não esteja exposto à Internet pública e só possa ser acessado a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/asrs/networkacls. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Modificar, Desativado | 1.1.0 |
Recuperação de sites
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Configurar os cofres dos Serviços de Recuperação do Azure para utilizar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para os Cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar pontos de extremidade privados nos cofres dos Serviços de Recuperação do Azure | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para os recursos de recuperação de seu site dos cofres dos Serviços de Recuperação, você pode reduzir os riscos de vazamento de dados. Para usar links privados, a identidade do serviço gerenciado deve ser atribuída aos Cofres dos Serviços de Recuperação. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os cofres dos Serviços de Recuperação devem utilizar uma ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para os cofres dos Serviços de Recuperação do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados para o Azure Site Recovery em: https://aka.ms/HybridScenarios-PrivateLink e https://aka.ms/AzureToAzure-PrivateLink. | Auditoria, Desativado | 1.0.0-pré-visualização |
SQL
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Microsoft Entra deve ser provisionado para servidores MySQL | Provisionamento de auditoria de um administrador do Microsoft Entra para o seu servidor MySQL para habilitar a autenticação do Microsoft Entra. A autenticação do Microsoft Entra permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.1.1 |
| Um administrador do Microsoft Entra deve ser provisionado para servidores PostgreSQL | Provisionamento de auditoria de um administrador do Microsoft Entra para seu servidor PostgreSQL para habilitar a autenticação do Microsoft Entra. A autenticação do Microsoft Entra permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.1 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| O servidor flexível do Azure MySQL deve ter a Autenticação Apenas Entra da Microsoft habilitada | Desabilitar os métodos de autenticação local e permitir apenas a Autenticação do Microsoft Entra melhora a segurança, garantindo que o servidor flexível do Azure MySQL possa ser acessado exclusivamente pelas identidades do Microsoft Entra. | AuditIfNotExists, desativado | 1.0.1 |
| O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão TLS como 1.2 ou mais recente melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditar, Desabilitar, Negar | 2.0.0 |
| O Banco de Dados SQL do Azure deve ter a autenticação somente Microsoft Entra-habilitada | Exija que os servidores lógicos SQL do Azure usem a autenticação somente Microsoft Entra. Esta política não impede que os servidores sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
| O Banco de Dados SQL do Azure deve ter a autenticação somente Microsoft Entra-somente habilitada durante a criação | Exija que os servidores lógicos SQL do Azure sejam criados com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.2.0 |
| A Instância Gerenciada SQL do Azure deve ter a autenticação somente Microsoft Entra-habilitada | Exija que a Instância Gerenciada SQL do Azure use a autenticação somente Microsoft Entra. Esta política não impede que instâncias SQL Managed do Azure sejam criadas com a autenticação local habilitada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
| As Instâncias Gerenciadas SQL do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
| As Instâncias Gerenciadas SQL do Azure devem ter a autenticação somente Microsoft Entra-habilitada durante a criação | Exija que a Instância Gerenciada SQL do Azure seja criada com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.2.0 |
| Configurar a Proteção Avançada contra Ameaças para ser habilitada no banco de dados do Azure para servidores MariaDB | Habilite a Proteção Avançada contra Ameaças em seu banco de dados do Azure de camada não Básica para servidores MariaDB para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar a Proteção Avançada contra Ameaças para ser habilitada no banco de dados do Azure para servidores MySQL | Habilite a Proteção Avançada contra Ameaças em seu banco de dados do Azure de camada não Básica para servidores MySQL para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar a Proteção Avançada contra Ameaças para ser habilitada no banco de dados do Azure para servidores PostgreSQL | Habilite a Proteção Avançada contra Ameaças em seu banco de dados do Azure de camada não Básica para servidores PostgreSQL para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar o Azure Defender para ser habilitado em instâncias gerenciadas SQL | Habilite o Azure Defender em suas Instâncias Gerenciadas SQL do Azure para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar o Azure Defender para ser habilitado em servidores SQL | Habilite o Azure Defender em seus SQL Servers do Azure para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists | 2.1.0 |
| Definir configurações de diagnóstico de servidores de banco de dados SQL do Azure para o espaço de trabalho do Log Analytics | Habilita os logs de auditoria para o servidor do Banco de Dados SQL do Azure e transmite os logs para um espaço de trabalho do Log Analytics quando qualquer SQL Server que esteja faltando essa auditoria é criado ou atualizado | DeployIfNotExists, desativado | 1.0.2 |
| Configurar o SQL Server do Azure para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública desliga a conectividade pública de forma que o SQL Server do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. | Modificar, Desativado | 1.0.0 |
| Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privadas | Uma conexão de ponto de extremidade privada habilita a conectividade privada com seu Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Esta configuração melhora a sua postura de segurança e suporta ferramentas e cenários de rede do Azure. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar servidores SQL para que a auditoria esteja habilitada | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Isso às vezes é necessário para a conformidade com as normas regulamentares. | DeployIfNotExists, desativado | 3.0.0 |
| Configurar servidores SQL para que a auditoria seja habilitada para o espaço de trabalho do Log Analytics | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Se a auditoria não estiver habilitada, essa política configurará os eventos de auditoria para fluir para o espaço de trabalho especificado do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| A limitação de conexão deve ser habilitada para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem a limitação de conexão habilitada. Essa configuração permite a limitação temporária de conexão por IP para muitas falhas de login de senha inválidas. | AuditIfNotExists, desativado | 1.0.0 |
| Implantar - Definir configurações de diagnóstico para bancos de dados SQL para o espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Bancos de Dados SQL para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer Banco de Dados SQL que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 4.0.0 |
| Implantar segurança avançada de dados em servidores SQL | Essa política habilita a Segurança Avançada de Dados em SQL Servers. Isso inclui ativar a Deteção de Ameaças e a Avaliação de Vulnerabilidade. Ele criará automaticamente uma conta de armazenamento na mesma região e grupo de recursos que o servidor SQL para armazenar os resultados da verificação, com um prefixo 'sqlva'. | DeployIfNotExists | 1.3.0 |
| Implantar configurações de diagnóstico do Banco de Dados SQL do Azure no Hub de Eventos | Implanta as configurações de diagnóstico do Banco de Dados SQL do Azure para transmitir para um Hub de Eventos regional em qualquer Banco de Dados SQL do Azure que esteja faltando: essas configurações de diagnóstico são criadas ou atualizadas. | DeployIfNotExists | 1.2.0 |
| Implantar criptografia de dados transparente do Banco de Dados SQL | Permite a criptografia de dados transparente em bancos de dados SQL | DeployIfNotExists, desativado | 2.2.0 |
| As desconexões devem ser registradas para servidores de banco de dados PostgreSQL. | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_disconnections habilitado. | AuditIfNotExists, desativado | 1.0.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores MySQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores MySQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2. | Auditoria, Negar, Desativado | 1.0.0 |
| A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores PostgreSQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores PostgreSQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2 | Auditoria, Negar, Desativado | 1.0.0 |
| Os pontos de verificação de log devem ser habilitados para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_checkpoints configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
| As conexões de log devem ser habilitadas para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_connections configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
| A duração do log deve ser habilitada para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_duration configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. | AuditIfNotExists, desativado | 2.0.0 |
| O servidor MariaDB deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MariaDB, garantindo que o tráfego permaneça dentro do limite do Azure. Esta política fornece uma maneira de auditar se o Banco de Dados do Azure para MariaDB tem ponto de extremidade de serviço de rede virtual sendo usado. | AuditIfNotExists, desativado | 1.0.2 |
| O servidor MySQL deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MySQL, garantindo que o tráfego permaneça dentro do limite do Azure. Esta política fornece uma maneira de auditar se o Banco de Dados do Azure para MySQL tem ponto de extremidade de serviço de rede virtual sendo usado. | AuditIfNotExists, desativado | 1.0.2 |
| Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
| O servidor PostgreSQL deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para PostgreSQL, garantindo que o tráfego permaneça dentro do limite do Azure. Esta política fornece uma maneira de auditar se o Banco de Dados do Azure para PostgreSQL tem ponto de extremidade de serviço de rede virtual sendo usado. | AuditIfNotExists, desativado | 1.0.2 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
| O acesso à rede pública deve ser desativado para servidores MariaDB | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
| O acesso à rede pública deve ser desativado para servidores flexíveis MySQL | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seus servidores flexíveis do Banco de Dados do Azure para MySQL só possam ser acessados a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.1.0 |
| O acesso à rede pública deve ser desativado para servidores MySQL | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
| O acesso à rede pública deve ser desativado para servidores flexíveis PostgreSQL | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seus servidores flexíveis do Banco de Dados do Azure para PostgreSQL só possam ser acessados a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 3.0.1 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.1 |
| As configurações de Auditoria SQL devem ter Grupos de Ações configurados para capturar atividades críticas | A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir um log de auditoria completo | AuditIfNotExists, desativado | 1.0.0 |
| O Banco de dados SQL deve evitar o uso de redundância de backup GRS | Os bancos de dados devem evitar usar o armazenamento com redundância geográfica padrão para backups, se as regras de residência de dados exigirem que os dados permaneçam em uma região específica. Observação: a Política do Azure não é imposta ao criar um banco de dados usando T-SQL. Se não for explicitamente especificado, o banco de dados com armazenamento de backup com redundância geográfica é criado via T-SQL. | Negar, Desativado | 2.0.0 |
| A Instância Gerenciada SQL deve ter a versão TLS mínima da 1.2 | Definir a versão mínima do TLS como 1.2 melhora a segurança, garantindo que sua Instância Gerenciada SQL só possa ser acessada a partir de clientes que usam o TLS 1.2. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, Desativado | 1.0.1 |
| As instâncias gerenciadas pelo SQL devem evitar o uso da redundância de backup GRS | As instâncias gerenciadas devem evitar o uso do armazenamento com redundância geográfica padrão para backups, se as regras de residência de dados exigirem que os dados permaneçam em uma região específica. Observação: a Política do Azure não é imposta ao criar um banco de dados usando T-SQL. Se não for explicitamente especificado, o banco de dados com armazenamento de backup com redundância geográfica é criado via T-SQL. | Negar, Desativado | 2.0.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| A regra de firewall de rede virtual no Banco de Dados SQL do Azure deve ser habilitada para permitir o tráfego da sub-rede especificada | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados SQL do Azure, garantindo que o tráfego permaneça dentro do limite do Azure. | AuditIfNotExists | 1.0.0 |
| A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
Instância Gerida do SQL
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A criptografia de chave gerenciada pelo cliente deve ser usada como parte do CMK Encryption for Arc SQL managed instances. | Como parte da criptografia CMK, a criptografia de chave gerenciada pelo cliente deve ser usada. Saiba mais em https://aka.ms/EnableTDEArcSQLMI. | Auditoria, Desativado | 1.0.0 |
| O protocolo TLS 1.2 deve ser usado para instâncias gerenciadas do Arc SQL. | Como parte das configurações de rede, a Microsoft recomenda permitir apenas TLS 1.2 para protocolos TLS em SQL Servers. Saiba mais sobre as configurações de rede para o SQL Server em https://aka.ms/TlsSettingsSQLServer. | Auditoria, Desativado | 1.0.0 |
| A criptografia de dados transparente deve ser habilitada para instâncias gerenciadas do Arc SQL. | Habilite a criptografia de dados transparente (TDE) em repouso em uma Instância Gerenciada SQL habilitada para Azure Arc. Saiba mais em https://aka.ms/EnableTDEArcSQLMI. | Auditoria, Desativado | 1.0.0 |
SQL Server
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Ativar a identidade atribuída pelo sistema à SQL VM | Habilite a identidade atribuída ao sistema em escala para máquinas virtuais SQL. Você precisa atribuir essa política no nível da assinatura. Atribuir no nível do grupo de recursos não funcionará conforme o esperado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| Configure servidores habilitados para Arc com a extensão do SQL Server instalada para habilitar ou desabilitar a avaliação de práticas recomendadas do SQL. | Habilite ou desabilite a avaliação de práticas recomendadas do SQL nas instâncias do SQL Server em seus servidores habilitados para Arc para avaliar as práticas recomendadas. Saiba mais em https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, desativado | 1.0.1 |
| Inscreva instâncias qualificadas do SQL Servers habilitadas para Arc para Atualizações de Segurança Estendidas. | Assine instâncias qualificadas do SQL Servers habilitadas para Arc com Tipo de Licença definido como Pago ou PAYG para Atualizações de Segurança Estendidas. Saiba mais sobre atualizações https://go.microsoft.com/fwlink/?linkid=2239401de segurança estendidas . | DeployIfNotExists, desativado | 1.0.0 |
Pilha HCI
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os servidores HCI do Azure Stack devem ter políticas de controlo de aplicações aplicadas de forma consistente | No mínimo, aplique a política base do Microsoft WDAC no modo imposto em todos os servidores HCI do Azure Stack. As diretivas WDAC (Controle de Aplicativo do Windows Defender) aplicadas devem ser consistentes entre servidores no mesmo cluster. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
| [Pré-visualização]: Os servidores HCI do Azure Stack devem cumprir os requisitos Secured-core | Certifique-se de que todos os servidores HCI do Azure Stack atendam aos requisitos de núcleo seguro. Para habilitar os requisitos do servidor Secured-core: 1. Na página Clusters HCI do Azure Stack, vá para o Windows Admin Center e selecione Conectar. 2. Vá para a extensão Segurança e selecione Secured-core. 3. Selecione qualquer configuração que não esteja habilitada e clique em Ativar. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
| [Pré-visualização]: Os sistemas HCI do Azure Stack devem ter volumes encriptados | Use o BitLocker para criptografar o sistema operacional e os volumes de dados nos sistemas HCI do Azure Stack. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
| [Preview]: A rede de host e VM deve ser protegida em sistemas HCI do Azure Stack | Proteja dados na rede de hosts HCI do Azure Stack e em conexões de rede de máquina virtual. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
Armazenamento
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| Os Volumes SMB dos Arquivos NetApp do Azure devem usar a criptografia SMB3 | Não permitir a criação de volumes SMB sem criptografia SMB3 para garantir a integridade e a privacidade dos dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Arquivos NetApp do Azure Os volumes do tipo NFSv4.1 devem usar a criptografia de dados Kerberos | Só permita o uso do modo de segurança de privacidade Kerberos (5p) para garantir que os dados sejam criptografados. | Auditoria, Negar, Desativado | 1.0.0 |
| Arquivos NetApp do Azure Os volumes do tipo NFSv4.1 devem usar a integridade de dados Kerberos ou a privacidade de dados | Certifique-se de que pelo menos a integridade do Kerberos (krb5i) ou a privacidade do Kerberos (krb5p) esteja selecionada para garantir a integridade e a privacidade dos dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Os Volumes de Arquivos NetApp do Azure não devem usar o tipo de protocolo NFSv3 | Não permitir o uso do tipo de protocolo NFSv3 para impedir o acesso não seguro a volumes. O NFSv4.1 com protocolo Kerberos deve ser usado para acessar volumes NFS para garantir a integridade e a criptografia dos dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para groupID de blob | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de blob. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para blob_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado blob_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para dfs groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para dfs_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo de arquivos | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de arquivos. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo de filas | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo de filas. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para queue_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado queue_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para groupID de tabela | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado groupID de tabela. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para table_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo table_secondary. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo Web | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo da Web. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para web_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo web_secondary. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar a Sincronização de Ficheiros do Azure para utilizar zonas DNS privadas | Para acessar o(s) ponto(s) de extremidade privado para interfaces de recursos do Serviço de Sincronização de Armazenamento a partir de um servidor registrado, você precisa configurar seu DNS para resolver os nomes corretos para os endereços IP privados do seu ponto de extremidade privado. Esta política cria os registos de Zona DNS Privada do Azure e A necessários para as interfaces do(s) seu(s) ponto(s) de extremidade(s) privado(s) do Serviço de Sincronização de Armazenamento. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar a Sincronização de Ficheiros do Azure com pontos de extremidade privados | Um ponto de extremidade privado é implantado para o recurso do Serviço de Sincronização de Armazenamento indicado. Isso permite que você aborde seu recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados por si só não desativa o ponto de extremidade público. | DeployIfNotExists, desativado | 1.0.0 |
| Definir configurações de diagnóstico para serviços de Blob para espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Blob para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer serviço de blob que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Definir configurações de diagnóstico para o espaço de trabalho Serviços de Arquivo para Análise de Log | Implanta as configurações de diagnóstico dos Serviços de Arquivo para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer serviço de arquivo que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Definir configurações de diagnóstico para o espaço de trabalho Serviços de Fila para Análise de Log | Implanta as configurações de diagnóstico dos Serviços de Fila para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer Serviço de fila que esteja faltando essas configurações de diagnóstico é criado ou atualizado. Nota: Esta política não é acionada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar a conta. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.1 |
| Definir configurações de diagnóstico para contas de armazenamento para o espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico para contas de armazenamento para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer conta de armazenamento que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Definir configurações de diagnóstico para o espaço de trabalho Serviços de Tabela para Análise de Log | Implanta as configurações de diagnóstico dos Serviços de Tabela para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer serviço de tabela que esteja faltando essas configurações de diagnóstico é criado ou atualizado. Nota: Esta política não é acionada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar a conta. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.1 |
| Configurar a transferência segura de dados em uma conta de armazenamento | A transferência segura é uma opção que força a conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Modificar, Desativado | 1.0.0 |
| Configurar a conta de armazenamento para usar uma conexão de link privado | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para sua conta de armazenamento, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas de armazenamento para desabilitar o acesso à rede pública | Para melhorar a segurança das Contas de Armazenamento, certifique-se de que elas não estejam expostas à Internet pública e só possam ser acessadas a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Modificar, Desativado | 1.0.1 |
| Configurar o acesso público da sua conta de armazenamento para não ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | Modificar, Desativado | 1.0.0 |
| Configure sua conta de armazenamento para habilitar o controle de versão de blob | Você pode habilitar o controle de versão de armazenamento de Blob para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blob está habilitado, você pode acessar versões anteriores de um blob para recuperar seus dados se eles forem modificados ou excluídos. | Auditoria, Negar, Desativado | 1.0.0 |
| Implantar o Defender for Storage (Classic) em contas de armazenamento | Esta política habilita o Defender for Storage (Classic) em contas de armazenamento. | DeployIfNotExists, desativado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
| As contas de cache HPC devem usar a chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Cache HPC do Azure com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditar, Desabilitar, Negar | 2.0.0 |
| Modificar - Configurar a Sincronização de Ficheiros do Azure para desativar o acesso à rede pública | O ponto de extremidade público acessível pela Internet do Azure File Sync é desabilitado pela sua política organizacional. Você ainda pode acessar o Serviço de Sincronização de Armazenamento por meio de seus pontos de extremidade privados. | Modificar, Desativado | 1.0.0 |
| Modificar - Configure sua conta de armazenamento para habilitar o controle de versão de blob | Você pode habilitar o controle de versão de armazenamento de Blob para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blob está habilitado, você pode acessar versões anteriores de um blob para recuperar seus dados se eles forem modificados ou excluídos. Observe que as contas de armazenamento existentes não serão modificadas para habilitar o controle de versão de armazenamento de Blob. Somente contas de armazenamento recém-criadas terão o controle de versão de armazenamento de Blob habilitado | Modificar, Desativado | 1.0.0 |
| O acesso à rede pública deve ser desabilitado para o Azure File Sync | A desativação do ponto de extremidade público permite restringir o acesso ao recurso do Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente inseguro em permitir solicitações para o ponto de extremidade público, no entanto, você pode desativá-lo para atender aos requisitos de política regulamentar, legal ou organizacional. Você pode desabilitar o ponto de extremidade público para um Serviço de Sincronização de Armazenamento definindo incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Auditoria, Negar, Desativado | 1.0.0 |
| O armazenamento em fila deve usar a chave gerenciada pelo cliente para criptografia | Proteja seu armazenamento em fila com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Negar, Desativado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do cofre de chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia de conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Auditoria, Negar, Desativado | 1.0.0 |
| Os escopos de criptografia de conta de armazenamento devem usar criptografia dupla para dados em repouso | Habilite a criptografia de infraestrutura para criptografia em repouso dos escopos de criptografia da conta de armazenamento para maior segurança. A criptografia de infraestrutura garante que seus dados sejam criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| As chaves de conta de armazenamento não devem ter expirado | Certifique-se de que as chaves da conta de armazenamento do usuário não tenham expirado quando a política de expiração de chaves for definida, para melhorar a segurança das chaves de conta tomando medidas quando as chaves expirarem. | Auditoria, Negar, Desativado | 3.0.0 |
| As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ser limitadas por SKUs permitidos | Restrinja o conjunto de SKUs de conta de armazenamento que sua organização pode implantar. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem desativar o acesso à rede pública | Para melhorar a segurança das Contas de Armazenamento, certifique-se de que elas não estejam expostas à Internet pública e só possam ser acessadas a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ter políticas de assinatura de acesso compartilhado (SAS) configuradas | Verifique se as contas de armazenamento têm a política de expiração de assinatura de acesso compartilhado (SAS) habilitada. Os usuários usam uma SAS para delegar acesso a recursos na conta de Armazenamento do Azure. E a política de expiração SAS recomenda um limite superior de expiração quando um usuário cria um token SAS. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ter a versão TLS mínima especificada | Configure uma versão mínima do TLS para comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a versão mais recente, que atualmente é o TLS 1.2. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem impedir a replicação de objetos entre locatários | Restrição de auditoria da replicação de objetos para sua conta de armazenamento. Por padrão, os usuários podem configurar a replicação de objetos com uma conta de armazenamento de origem em um locatário do Azure AD e uma conta de destino em um locatário diferente. É uma preocupação de segurança porque os dados do cliente podem ser replicados para uma conta de armazenamento que é de propriedade do cliente. Ao definir allowCrossTenantReplication como false, a replicação de objetos pode ser configurada somente se as contas de origem e de destino estiverem no mesmo locatário do Azure AD. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem impedir o acesso à chave compartilhada | Requisito de auditoria do Azure Ative Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais do Azure Ative Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Destes dois tipos de autorização, o Azure AD garante segurança superior e facilidade de utilização da Chave Partilhada, pelo que é a recomendação da Microsoft. | Auditoria, Negar, Desativado | 2.0.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
| O armazenamento de tabela deve usar a chave gerenciada pelo cliente para criptografia | Proteja o armazenamento da sua mesa com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Negar, Desativado | 1.0.0 |
Stream Analytics
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente quando quiser armazenar com segurança quaisquer metadados e ativos de dados privados de seus trabalhos do Stream Analytics em sua conta de armazenamento. Isso lhe dá controle total sobre como seus dados do Stream Analytics são criptografados. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| O trabalho do Stream Analytics deve se conectar a entradas e saídas confiáveis | Certifique-se de que os trabalhos do Stream Analytics não tenham conexões arbitrárias de entrada ou saída que não estejam definidas na lista de permissões. Isso verifica se os trabalhos do Stream Analytics não exfiltram dados conectando-se a coletores arbitrários fora da sua organização. | Negar, Desativado, Auditoria | 1.1.0 |
| O trabalho do Stream Analytics deve usar a identidade gerenciada para autenticar pontos de extremidade | Certifique-se de que os trabalhos do Stream Analytics se conectem apenas a pontos de extremidade usando autenticação de identidade gerenciada. | Negar, Desativado, Auditoria | 1.0.0 |
Sinapse
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A auditoria no espaço de trabalho Synapse deve ser habilitada | A auditoria em seu espaço de trabalho Synapse deve ser habilitada para rastrear atividades de banco de dados em todos os bancos de dados nos pools SQL dedicados e salvá-los em um log de auditoria. | AuditIfNotExists, desativado | 1.0.0 |
| Os pools SQL dedicados do Azure Synapse Analytics devem habilitar a criptografia | Habilite a criptografia de dados transparente para pools SQL dedicados do Azure Synapse Analytics para proteger dados em repouso e atender aos requisitos de conformidade. Observe que habilitar a criptografia de dados transparente para o pool pode afetar o desempenho da consulta. Mais detalhes podem referir-se a: https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, desativado | 1.0.0 |
| Azure Synapse Workspace SQL Server deve estar executando TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente melhora a segurança, garantindo que o servidor SQL do espaço de trabalho do Azure Synapse só possa ser acessado a partir de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, Negar, Desativado | 1.1.0 |
| Os espaços de trabalho do Azure Synapse devem permitir o tráfego de dados de saída apenas para destinos aprovados | Aumente a segurança do seu espaço de trabalho Synapse, permitindo o tráfego de dados de saída apenas para alvos aprovados. Isso ajuda na prevenção contra a exfiltração de dados, validando o destino antes de enviar dados. | Auditar, Desabilitar, Negar | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o espaço de trabalho Synapse não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de seus espaços de trabalho Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Auditoria, Negar, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos espaços de trabalho do Azure Synapse. As chaves gerenciadas pelo cliente oferecem criptografia dupla adicionando uma segunda camada de criptografia sobre a criptografia padrão com chaves gerenciadas por serviço. | Auditoria, Negar, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
| Configurar o Azure Synapse Workspace Versão mínima TLS SQL dedicada | Os clientes podem aumentar ou diminuir a versão mínima do TLS usando a API, tanto para novos espaços de trabalho Synapse quanto para espaços de trabalho existentes. Assim, os usuários que precisam usar uma versão de cliente inferior nos espaços de trabalho podem se conectar, enquanto os usuários que têm requisitos de segurança podem aumentar a versão mínima do TLS. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Desativado | 1.1.0 |
| Configurar espaços de trabalho do Azure Synapse para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu espaço de trabalho Synapse para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Desativado | 1.0.0 |
| Configurar espaços de trabalho do Azure Synapse para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para o espaço de trabalho do Azure Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar espaços de trabalho do Azure Synapse com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Synapse, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar espaços de trabalho Synapse para que a auditoria esteja habilitada | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os espaços de trabalho Synapse devem ter a auditoria habilitada. Isso às vezes é necessário para a conformidade com as normas regulamentares. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar espaços de trabalho Synapse para que a auditoria seja habilitada para o espaço de trabalho do Log Analytics | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os espaços de trabalho Synapse devem ter a auditoria habilitada. Se a auditoria não estiver habilitada, essa política configurará os eventos de auditoria para fluir para o espaço de trabalho especificado do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Synapse Workspaces para usar apenas identidades do Microsoft Entra para autenticação | Exigir e reconfigurar o Synapse Workspaces para usar a autenticação somente Microsoft Entra. Esta política não impede que espaços de trabalho sejam criados com a autenticação local ativada. Ele bloqueia a autenticação local de ser habilitada e reativa a autenticação somente Microsoft Entra, em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Modificar, Desativado | 1.0.0 |
| Configurar o Synapse Workspaces para usar apenas identidades do Microsoft Entra para autenticação durante a criação do espaço de trabalho | Exigir e reconfigurar o Synapse Workspaces a ser criado com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Modificar, Desativado | 1.2.0 |
| As regras de firewall IP nos espaços de trabalho do Azure Synapse devem ser removidas | A remoção de todas as regras de firewall IP melhora a segurança, garantindo que seu espaço de trabalho do Azure Synapse só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração audita a criação de regras de firewall que permitem o acesso à rede pública no espaço de trabalho. | Auditoria, Desativado | 1.0.0 |
| A rede virtual do espaço de trabalho gerenciado nos espaços de trabalho do Azure Synapse deve ser habilitada | Habilitar uma rede virtual de espaço de trabalho gerenciado garante que seu espaço de trabalho seja isolado de outros espaços de trabalho. A integração de dados e os recursos do Spark implantados nessa rede virtual também fornecem isolamento no nível do usuário para as atividades do Spark. | Auditoria, Negar, Desativado | 1.0.0 |
| Os pontos de extremidade privados gerenciados pela Synapse só devem se conectar a recursos em locatários aprovados do Azure Ative Directory | Proteja seu espaço de trabalho Synapse permitindo apenas conexões com recursos em locatários aprovados do Azure Ative Directory (Azure AD). Os locatários aprovados do Azure AD podem ser definidos durante a atribuição de política. | Auditar, Desabilitar, Negar | 1.0.0 |
| As configurações de auditoria do espaço de trabalho Synapse devem ter grupos de ação configurados para capturar atividades críticas | Para garantir que seus logs de auditoria sejam tão completos quanto possível, a propriedade AuditActionsAndGroups deve incluir todos os grupos relevantes. Recomendamos adicionar pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 1.0.0 |
| Os espaços de trabalho Synapse devem ter a autenticação somente Microsoft Entra-habilitada | Exija que o Synapse Workspaces use a autenticação somente do Microsoft Entra. Esta política não impede que espaços de trabalho sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.0.0 |
| Os espaços de trabalho Synapse devem usar apenas identidades do Microsoft Entra para autenticação durante a criação do espaço de trabalho | Exija que os espaços de trabalho Synapse sejam criados com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.2.0 |
| Os espaços de trabalho Synapse com auditoria SQL para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria SQL do seu espaço de trabalho Synapse para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 2.0.0 |
| A avaliação de vulnerabilidades deve ser ativada em seus espaços de trabalho Synapse | Descubra, rastreie e corrija possíveis vulnerabilidades configurando verificações recorrentes de avaliação de vulnerabilidades SQL em seus espaços de trabalho Synapse. | AuditIfNotExists, desativado | 1.0.0 |
Política do Sistema
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Regiões de implantação de recursos permitidas | Esta política mantém um conjunto das melhores regiões disponíveis onde a sua subscrição pode implementar recursos. O objetivo desta política é garantir que sua assinatura tenha acesso total aos serviços do Azure com desempenho ideal. Caso necessite de regiões adicionais ou diferentes, contacte o suporte. | negar | 1.0.0 |
Etiquetas
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar uma etiqueta a grupos de recursos | Adiciona a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modificar | 1.0.0 |
| Adicionar uma etiqueta a recursos | Adiciona a etiqueta e o valor especificados quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. Não modifica as etiquetas nos grupos de recursos. | modificar | 1.0.0 |
| Adicionar uma etiqueta a subscrições | Adiciona a tag e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a etiqueta existir com um valor diferente, não será alterada. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em grupos de recursos | Adiciona ou substitui a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em recursos | Adiciona ou substitui a etiqueta e o valor especificados quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Não modifica as etiquetas nos grupos de recursos. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em subscrições | Adiciona ou substitui a tag e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modificar | 1.0.0 |
| Anexar uma etiqueta e o seu valor a partir do grupo de recursos | Anexa a etiqueta especificada com o respetivo valor a partir do grupo de recursos quando cria ou atualiza um recurso sem esta etiqueta. Não modifica as etiquetas de recursos criados antes de esta política ser aplicada até esses recursos serem alterados. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar uma etiqueta e o seu valor a grupos de recursos | Anexa a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Não modifica as etiquetas de grupos de recursos criados antes de esta política ser aplicada até esses grupos de recursos serem alterados. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar uma etiqueta e o seu valor a recursos | Anexa a etiqueta e o valor especificados quando cria ou atualiza quaisquer recursos sem esta etiqueta. Não modifica as etiquetas de recursos criados antes de esta política ser aplicada até esses recursos serem alterados. Não é aplicável a grupos de recursos. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.1 |
| Herdar uma etiqueta do grupo de recursos | Adiciona ou substitui a etiqueta e o valor especificados do grupo de recursos principal quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modificar | 1.0.0 |
| Herdar uma etiqueta do grupo de recursos se estiver em falta | Adiciona a etiqueta especificada com o respetivo valor a partir do grupo de recursos principal quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modificar | 1.0.0 |
| Herdar uma etiqueta da subscrição | Adiciona ou substitui a etiqueta e o valor especificados da subscrição quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modificar | 1.0.0 |
| Herdar uma etiqueta da subscrição se estiver em falta | Adiciona a etiqueta especificada com o respetivo valor a partir da subscrição quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modificar | 1.0.0 |
| Exigir uma etiqueta e o respetivo valor em grupos de recursos | Impõe uma etiqueta necessária e o respetivo valor aos grupos de recursos. | negar | 1.0.0 |
| Exigir uma etiqueta e o respetivo valor em recursos | Impõe uma etiqueta necessária e o respetivo valor. Não é aplicável a grupos de recursos. | negar | 1.0.1 |
| Exigir uma etiqueta em grupos de recursos | Impõe a existência de uma etiqueta em grupos de recursos. | negar | 1.0.0 |
| Exigir uma etiqueta nos recursos | Impõe a existência de uma etiqueta. Não é aplicável a grupos de recursos. | negar | 1.0.1 |
| Requer que os recursos não tenham uma tag específica. | Nega a criação de um recurso que contém a tag fornecida. Não é aplicável a grupos de recursos. | Auditoria, Negar, Desativado | 2.0.0 |
Lançamento confiável
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os discos e a imagem do SO devem suportar TrustedLaunch | TrustedLaunch melhora a segurança de uma máquina virtual que requer o disco do sistema operacional & imagem do sistema operacional para suportá-lo (Gen 2). Para saber mais sobre o TrustedLaunch, visite https://aka.ms/trustedlaunch | Auditoria, Desativado | 1.0.0 |
| A máquina virtual deve ter TrustedLaunch ativado | Habilite TrustedLaunch na máquina virtual para maior segurança, use VM SKU (Gen 2) que suporta TrustedLaunch. Para saber mais sobre o TrustedLaunch, visite https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Auditoria, Desativado | 1.0.0 |
Enclaves Virtuais
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configure Contas de Armazenamento para restringir o acesso à rede apenas por meio da configuração de desvio de ACL de rede. | Para melhorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do desvio de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Modificar, Desativado | 1.0.0 |
| Não permitir a criação de tipos de recursos fora da lista de permissões | Essa política impede a implantação de tipos de recursos fora dos tipos explicitamente permitidos, a fim de manter a segurança em um enclave virtual. https://aka.ms/VirtualEnclaves | Auditoria, Negar, Desativado | 1.0.0 |
| Não permitir a criação de tipos de recursos especificados ou tipos em provedores específicos | Os provedores de recursos e os tipos especificados por meio da lista de parâmetros não podem ser criados sem a aprovação explícita da equipe de segurança. Se for concedida uma isenção à atribuição de apólice, o recurso pode ser aproveitado dentro do enclave. https://aka.ms/VirtualEnclaves | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem ser conectadas a uma sub-rede aprovada da rede virtual aprovada | Esta política impede que as interfaces de rede se conectem a uma rede virtual ou sub-rede que não seja aprovada. https://aka.ms/VirtualEnclaves | Auditoria, Negar, Desativado | 1.0.0 |
| As Contas de Armazenamento devem restringir o acesso à rede apenas através da configuração de bypass da ACL de rede. | Para melhorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do desvio de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
Construtor de Imagens da VM
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
Web PubSub
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Serviço Azure Web PubSub deve desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o serviço Azure Web PubSub não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/networkacls. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve habilitar logs de diagnóstico | Auditoria habilitação de logs de diagnóstico. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que o Serviço Azure Web PubSub exija exclusivamente identidades do Azure Ative Directory para autenticação. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve usar uma SKU que ofereça suporte ao link privado | Com a SKU suportada, o Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço Azure Web PubSub deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Desativado | 1.0.0 |
| Configurar o Serviço Web PubSub do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seu Serviço Azure Web PubSub exija exclusivamente identidades do Azure Ative Directory para autenticação. | Modificar, Desativado | 1.0.0 |
| Configurar o Serviço Azure Web PubSub para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu recurso Azure Web PubSub para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/awps/networkacls. | Modificar, Desativado | 1.0.0 |
| Configurar o Serviço Web PubSub do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Serviço Web PubSub do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.