Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas incorporadas Azure Policy para serviços de rede Azure. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Serviços de rede do Azure
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| O Azure Security Center identificou que algumas das suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja as suas sub-redes de potenciais ameaças restringindo o acesso a elas com o Azure Firewall ou um firewall de próxima geração suportado | AuditIfNotExists, desativado | 3.0.0-pré-visualização | |
| [Preview]: Os gateways de aplicativos devem ser resilientes à zona | Os gateways de aplicativos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Application Gatewaysmthat havenexatamente uma entrada em sua matriz de zonas são considerados Zone Aligned. Por outro lado, os Application Gatmways com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar Azure cofres de Serviços de Recuperação para utilizarem zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para os Cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar cofres dos Serviços de Recuperação para utilizar zonas DNS privadas para cópia de segurança | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver no cofre dos Serviços de Recuperação. Saiba mais em: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, desativado | 1.0.1-preview |
| [Preview]: Os firewalls devem ser resilientes à zona | Os firewalls podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os firewalls que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Por outro lado, firewalls com 3 ou mais entradas em sua matriz de zonas são reconhecidos como redundantes de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: Os load balancers devem ser resilientes à zona | Os balanceadores de carga com uma sku diferente de Basic herdam a resiliência dos endereços IP públicos em seu frontend. Quando combinada com a política "Os endereços IP públicos devem ser resilientes à zona", esta abordagem garante a redundância necessária para resistir a uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: O gateway NAT deve estar alinhado por zona | O gateway NAT pode ser configurado para estar alinhado à zona ou não. O gateway NAT que tem exatamente uma entrada em sua matriz de zonas é considerado Zona Alinhada. Essa política garante que um gateway NAT esteja configurado para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: Os endereços IP públicos devem ser resilientes à zona | Os endereços IP públicos podem ser configurados para estarem alinhados com zona, redundantes de zona ou nenhum. Os endereços IP públicos que são regionais, com exatamente uma entrada em sua matriz de zonas, são considerados Zona Alinhada. Por outro lado, os endereços IP públicos que são regionais, com 3 ou mais entradas em sua matriz de zonas, são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.1.0-preview |
| [Pré-visualização]: Os prefixos IP públicos devem ser resilientes à zona | Os prefixos IP públicos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os prefixos IP públicos que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Em contraste, prefixos IP públicos com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: Os gateways de rede virtual devem ser redundantes de zona | Os gateways de rede virtual podem ser configurados para serem redundantes de zona ou não. Os gateways de rede virtual cujo nome ou camada de SKU não termina com 'AZ' não são redundantes de zona. Esta política identifica gateways de rede virtual sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-preview |
| Uma política personalizada de IPsec/IKE deve ser aplicada a todas as Azure conexões de gateway de rede virtual | Esta política garante que todas as ligações de gateway de rede virtual do Azure utilizam uma política personalizada de Segurança de Protocolo de Internet (Ipsec)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Modo de Auditoria, Desativado | 1.0.0 |
| Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Auditoria de rede virtual para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através da rede virtual. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
| Azure Application Gateway deve ser destacado com Azure WAF | Requer que os recursos do Azure Application Gateway sejam implementados com o Azure WAF. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Application Gateway deve ter os registos de recursos ativados | Ative os registos de recursos para o Azure Application Gateway (mais WAF) e transmita para um espaço de trabalho Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
| Azure Proteção DDoS deve estar ativada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| As Regras Clássicas Azure Firewall devem ser migradas para Política de Firewall | Migre do Azure Firewall Classic Rules para o Firewall Policy para utilizar ferramentas de gestão central como o Azure Firewall Manager. | Auditoria, Negar, Desativado | 1.0.0 |
| A Análise de Políticas Azure Firewall deve estar ativada | Ativar a Análise de Políticas proporciona uma visibilidade melhorada do tráfego que passa pelo Azure Firewall, permitindo a otimização da configuração do firewall sem afetar o desempenho da aplicação | Modo de Auditoria, Desativado | 1.0.0 |
| Azure Firewall Política deve permitir a Inteligência de Ameaças | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os endereços IP e domínios são obtidos a partir do feed de Inteligência de Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| A política Azure Firewall deve ter o Proxy DNS ativado | Ativar o DNS Proxy fará com que o Azure Firewall associado a esta política escute na porta 53 e encaminhe os pedidos DNS para o servidor DNS especificado | Modo de Auditoria, Desativado | 1.0.0 |
| Azure Firewall deve ser implementado para abranger múltiplos Availability Zones | Para aumentar a disponibilidade, recomendamos implementar o seu Azure Firewall para abranger múltiplas Availability Zones. Isto garante que o seu Azure Firewall permanecerá disponível em caso de falha de zona. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Firewall Padrão - As Regras Clássicas devem permitir a Inteligência de Ameaças | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os endereços IP e domínios são obtidos a partir do feed de Inteligência de Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Firewall Standard deve ser atualizado para Premium para proteção de próxima geração | Se procura proteção de próxima geração como a inspeção IDPS e TLS, deve considerar atualizar o seu Azure Firewall para um SKU Premium. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Front Door deve ter os registos de recursos ativados | Ativa os Resource logs para Azure Front Door (mais WAF) e transmite para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
| Esta política garante que os gateways VPN não usem SKU 'básico'. | Modo de Auditoria, Desativado | 1.0.0 | |
| Azure Web Application Firewall no Azure Application Gateway deve ter ativado o pedido de inspeção corporal | Certifique-se de que as Firewalls de Aplicações Web associadas aos Azure Application Gateways têm a inspeção do corpo de pedidos ativada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Web Application Firewall no Azure Front Door deve ter ativado o pedido de inspeção corporal | Certifique-se de que os Firewalls de Aplicações Web associados ao Azure Front Doors têm a inspeção do corpo de pedidos ativada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Web Application Firewall deve estar ativado para Azure Front Door pontos de entrada | Implemente o Azure Web Application Firewall (WAF) à frente de aplicações web públicas para uma inspeção adicional do tráfego recebido. O Web Application Firewall (WAF) oferece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, como injeções SQL, Cross-Site Scripting, execuções locais e remotas de ficheiros. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| Bot Protection deve estar ativada para Azure Application Gateway WAF | Esta política assegura que a proteção contra bots está ativada em todas as políticas de Azure Application Gateway Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| Proteção contra Bots deve estar ativada para Azure Front Door WAF | Esta política assegura que a proteção contra bots está ativada em todas as políticas de Azure Front Door Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para groupID de blob | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de blob. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para blob_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado blob_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para dfs groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para dfs_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo de arquivos | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de arquivos. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo de filas | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo de filas. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para queue_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado queue_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para groupID de tabela | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado groupID de tabela. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para table_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo table_secondary. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para o ID do grupo Web | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo da Web. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar um ID de zona DNS privado para web_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo web_secondary. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar aplicativos do Serviço de Aplicativo para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula uma rede virtual a um Serviço de Aplicativo. Saiba mais em: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar Azure AI Search serviços para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver no seu serviço Azure AI Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desativado | 1.0.1 |
| Configure Azure Arc Private Link Scopes para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para Azure Arc Private Link Scopes. Saiba mais em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar Azure Automation contas com zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Precisa de uma zona DNS privada devidamente configurada para se ligar à conta Azure Automation via Azure Private Link. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Cache for Redis Enterprise para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser ligada à sua rede virtual para resolver para o Azure Cache for Redis Enterprise. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Cache for Redis para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser ligada à sua rede virtual para resolver para o Azure Cache for Redis. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Databricks espaço de trabalho para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para os espaços de trabalho do Azure Databricks. Saiba mais em: https://aka.ms/adbpe. | DeployIfNotExists, desativado | 1.0.1 |
| Configure Azure Atualização de Dispositivo para IoT Hub contas usarem zonas DNS privadas | Azure Private DNS fornece um serviço DNS fiável e seguro para gerir e resolver nomes de domínio numa rede virtual sem necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implementa uma Zona DNS privada para Atualização de Dispositivos para endpoints privados do IoT Hub. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure File Sync para usar zonas DNS privadas | Para acessar o(s) ponto(s) de extremidade privado para interfaces de recursos do Serviço de Sincronização de Armazenamento a partir de um servidor registrado, você precisa configurar seu DNS para resolver os nomes corretos para os endereços IP privados do seu ponto de extremidade privado. Esta política cria os registos necessários de Azure Private DNS Zona e A para as interfaces dos seus endpoints privados do Serviço de Sincronização de Armazenamento. | DeployIfNotExists, desativado | 1.1.0 |
| Configure Azure HDInsight clusters para usarem zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver clusters Azure HDInsight. Saiba mais em: https://aka.ms/hdi.pl. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Cofres de Chaves para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para o cofre de chaves. Saiba mais em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desativado | 1.0.1 |
| Configure Azure Machine Learning espaço de trabalho para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para os espaços de trabalho do Azure Machine Learning. Saiba mais em: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, desativado | 1.1.0 |
| Configure Azure Managed Grafana espaços de trabalho para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para os espaços de trabalho Azure Managed Grafana. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Migrate recursos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver o seu projeto Azure Migrate. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Monitor Private Link Scope para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver no âmbito da ligação privada do Azure Monitor. Saiba mais em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Synapse espaços de trabalho para utilizarem zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para o Azure Synapse Workspace. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, desativado | 2.0.0 |
| Configure Azure Virtual Desktop recursos do hostpool para usarem zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para recursos do Azure Virtual Desktop. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Virtual Desktop recursos do espaço de trabalho para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para recursos do Azure Virtual Desktop. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Web PubSub Serviço para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para o serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos do BotService para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos relacionados ao BotService. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas de Serviços Cognitivos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver as contas dos Serviços Cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar registros de contêiner para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver o seu Registo de Contentores. Saiba mais em: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar contas do CosmosDB para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para a conta do CosmosDB. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar as definições de diagnóstico para Azure Grupos de Segurança de Rede para Log Analytics espaço de trabalho | Implemente as definições de diagnóstico para os Grupos de Segurança de Rede Azure para transmitir registos de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar recursos de acesso ao disco para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para um disco gerido. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar namespaces do Hub de Eventos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para namespaces do Hub de Eventos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar partilha de ficheiros com Microsoft. FileShares para usar zonas DNS privadas | Para aceder ao(s) endpoint(s) privado(s) para a Microsoft. FileShares, precisas de configurar o teu DNS para resolver os nomes corretos para os endereços IP privados do endpoint privado. Esta política cria os registos necessários de Azure Private DNS Zona e A para as interfaces do seu Microsoft. FileShares, endpoint(s) privado(s). | DeployIfNotExists, desativado | 1.0.0 |
| Configure IoT Hub instâncias de provisionamento de dispositivos para usarem zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver numa instância de serviço de provisionamento de dispositivos IoT Hub. Saiba mais em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se já tiver a análise de tráfego ativada, a política não substituirá suas configurações. Os Logs de Fluxo também estão habilitados para os grupos de segurança de Rede que não os têm. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar grupos de segurança de rede para usar espaço de trabalho, conta de armazenamento e política de retenção de fluxolog específicos para análise de tráfego | Se já tiver a análise de tráfego habilitada, a política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar zonas DNS privadas para pontos de extremidade privados conectados à Configuração do Aplicativo | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver instâncias de configuração do aplicativo. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
| Configure zonas DNS privadas para endpoints privados que se liguem a Azure Data Factory | Registos Private DNS permitem ligações privadas a endpoints privados. As ligações de endpoint privados permitem comunicação segura ao permitir conectividade privada ao seu Azure Data Factory sem necessidade de endereços IP públicos na origem ou destino. Para mais informações sobre endpoints privados e zonas DNS em Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, desativado | 1.0.0 |
| Configure zonas DNS privadas para endpoints privados que se liguem ao Azure Maps Accounts. | Registos Private DNS permitem ligações privadas a endpoints privados. As ligações privadas aos endpoints permitem comunicação segura ao permitir a conectividade privada à sua conta Azure Maps sem necessidade de endereços IP públicos na origem ou destino. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Private Link para Azure AD usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver no Azure AD. Saiba mais em: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Service Bus namespaces para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para os namespaces do Service Bus. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A análise de tráfego e os logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Esta política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.1 |
| Configurar redes virtuais para impor espaço de trabalho, conta de armazenamento e intervalo de retenção para logs de fluxo e análise de tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.2 |
| Criar Regional NetworkWatcher no NetworkWatcherRG para registos de fluxo VNet | Esta política cria um Network Watcher na região especificada para ativar Flowlogs para Redes Virtuais. | DeployIfNotExists, desativado | 1.0.0 |
| Deploy - Configurar Azure Event Grid domínios para usarem zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
| Deploy - Configurar Azure Event Grid tópicos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
| Deploy - Configurar Azure IoT Hubs para usarem zonas DNS privadas | Azure Private DNS fornece um serviço DNS fiável e seguro para gerir e resolver nomes de domínio numa rede virtual sem necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implementa uma Zona DNS privada para os endpoints privados do IoT Hub. | deployIfNotExists, DeployIfNotExists, desabilitado, desabilitado | 1.1.0 |
| Implantar - Configurar o IoT Central para usar zonas DNS privadas | Azure Private DNS fornece um serviço DNS fiável e seguro para gerir e resolver nomes de domínio numa rede virtual sem necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do IoT Central. | DeployIfNotExists, desativado | 1.0.0 |
| Deploy - Configurar zonas DNS privadas para endpoints privados, ligar-se ao Azure SignalR Service | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para o recurso Azure SignalR Service. Saiba mais em: https://aka.ms/asrs/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Configurar zonas DNS privadas para pontos de extremidade privados que se conectam a contas em lote | Registos Private DNS permitem ligações privadas a endpoints privados. As conexões de ponto de extremidade privado permitem uma comunicação segura, habilitando a conectividade privada para contas em lote sem a necessidade de endereços IP públicos na origem ou no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Batch, consulte https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Ele permitirá registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com a rede virtual de destino | Configura o log de fluxo para uma rede virtual específica. Ele permitirá registrar informações sobre o tráfego IP fluindo através de uma rede virtual. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | DeployIfNotExists, desativado | 1.1.1 |
| Implantar configurações de diagnóstico para grupos de segurança de rede | Esta política implementa automaticamente as definições de diagnóstico nos grupos de segurança da rede. Uma conta de armazenamento com o nome '{storagePrefixParameter}{NSGLocation}' será criada automaticamente. | deployIfNotExists | 2.0.1 |
| Implantar o inspetor de rede quando redes virtuais são criadas | Esta política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do inspetor de rede. | DeployIfNotExists | 1.0.0 |
| Implemente os VNet Flow Logs com Traffic Analytics para VNets, com armazenamento regional e Log Analytics centralizado. Antes da remediação, certifique-se de que o resourceGroupName, Resource Group, Storage Account, Log Analytics Workspace e Network Watcher já estão todos implementados. | DeployIfNotExists, desativado | 1.0.0 | |
| Habilitar o registro em log por grupo de categorias para gateways de aplicativos (microsoft.network/applicationgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para gateways de aplicativos (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Permitir o registo por grupo de categorias para gateways de aplicações (microsoft.network/applicationgateways) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para gateways de aplicações (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para gateways de aplicativos (microsoft.network/applicationgateways) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de aplicativos (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Ative o registo por grupo de categorias para Bastions (microsoft.network/bastionhosts) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para circuitos de Rota Expressa (microsoft.network/expressroutecircuits) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para circuitos de Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para circuitos ExpressRoute (microsoft.network/expressroutecircuits) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para circuitos ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para circuitos de Rota Expressa (microsoft.network/expressroutecircuits) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para circuitos de Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ativar o registo por grupo de categorias para o Firewall (microsoft.network/azurefirewalls) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar logs para um espaço de trabalho Log Analytics para o Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Ative o registo por grupo de categorias para os perfis Front Door e CDN (microsoft.network/frontdoors) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar logs para um espaço de trabalho Log Analytics para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para balanceadores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para Balanceadores de Carga (microsoft.network/loadbalancers) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para Balanceadores de Carga (microsoft.network/balanceadores de carga). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Balanceadores de Carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/dnsresolverpolicies no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.network/dnsresolverpolicies para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/dnsresolverpolicies para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/networkmanagers/ipampools no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.network/networkmanagers/ipampools para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar logs para um espaço de trabalho Log Analytics para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.network/networkmanagers/ipampools para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.network/networksecurityperimeters no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.network/networksecurityperimeters até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/networksecurityperímetros para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.network/p2svpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Ativar o registo por grupo de categorias para gateways microsoft.network/p2svpn para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para gateways microsoft.network/p2svpn. | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para microsoft.network/vpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.network/vpngateways para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/vpngateways para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkanalytics/dataproducts no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.networkanalytics/dataproducts para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkanalytics/dataproducts no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.networkcloud/baremetalmachines no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.networkcloud/baremetalmachines para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.networkcloud/baremetalmachines para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.networkcloud/clusters no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.networkcloud/clusters para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkcloud/clusters para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para microsoft.networkcloud/storageappliances no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.networkcloud/storageappliances para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ativar o registo por grupo de categorias para microsoft.networkcloud/storageappliances para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar logs para um espaço de trabalho Log Analytics para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para Network Managers (microsoft.network/networkmanagers) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para gestores de rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Ative o registo por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ativar o registo por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Ative o registo por grupo de categorias para os perfis do Traffic Manager (microsoft.network/trafficmanagerprofiles) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para perfis do Gestor de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Ative o registo por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para gateways de rede virtuais (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Permitir o registo por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho de Log Analytics para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Regra |
A regra do limite de taxa do Azure Web Application Firewall (WAF) para o Azure Front Door controla o número de pedidos permitidos de um determinado endereço IP de cliente para a aplicação durante um limite de taxa. | Auditoria, Negar, Desativado | 1.0.0 |
| Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um security group de rede | Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | deny | 1.0.0 |
| Migrar o WAF da configuração do WAF para a política do WAF no Application Gateway | Se você tiver WAF Config em vez de WAF Policy, então você pode querer mover para a nova WAF Policy. No futuro, a política de firewall suportará configurações de política WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem ser conectadas a uma sub-rede aprovada da rede virtual aprovada | Esta política impede que as interfaces de rede se conectem a uma rede virtual ou sub-rede que não seja aprovada. https://aka.ms/VirtualEnclaves | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem desativar o encaminhamento IP | Esta política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração do encaminhamento IP desativa a verificação da Azure sobre a origem e o destino para uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Esta política nega as interfaces de rede configuradas com qualquer IP público. Endereços IP públicos permitem que recursos da internet comuniquem de entrada para recursos Azure, e que recursos Azure comuniquem de saída para a internet. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| Os registos de fluxo Network Watcher devem ter a análise de tráfego ativada | A análise de tráfego analisa os registos de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem Azure. Pode ser usado para visualizar a atividade da rede nas suas subscrições do Azure e identificar pontos quentes, identificar ameaças de segurança, compreender padrões de fluxo de tráfego, identificar configurações incorretas da rede e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
| Network Watcher deve estar ativado | O Network Watcher é um serviço regional que lhe permite monitorizar e diagnosticar condições ao nível de um cenário de rede em, para e a partir do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Os endereços IP públicos devem ter registos de recursos ativados para Azure Proteção DDoS | Ative os registos de recursos para endereços IP públicos nas definições de diagnóstico para transmitir para um espaço de trabalho de Log Analytics. Obtenha visibilidade detalhada do tráfego de ataques e das ações tomadas para mitigar ataques DDoS por meio de notificações, relatórios e logs de fluxo. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
| IPs públicos e prefixos de IP público devem ter a tag FirstPartyUsage | Verifique se todos os endereços IP públicos e prefixos IP públicos têm uma tag FirstPartyUsage. | Auditoria, Negar, Desativado | 1.1.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras da Access Control List (ACL) que permitem ou negam o tráfego de rede para a sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| As sub-redes devem ser privadas | Certifique-se de que suas sub-redes estejam seguras por padrão, impedindo o acesso de saída padrão. Para obter mais informações, aceda a https://aka.ms/defaultoutboundaccessretirement | Auditoria, Negar, Desativado | 1.1.0 |
| Os Hubs Virtuais devem ser protegidos com Azure Firewall | Implemente um Azure Firewall nos seus Hubs Virtuais para proteger e controlar detalhadamente o tráfego de saída e entrada da internet. | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser conectadas a uma rede virtual aprovada | Esta política audita qualquer máquina virtual conectada a uma rede virtual que não seja aprovada. | Auditoria, Negar, Desativado | 1.0.0 |
| As redes virtuais devem ser protegidas por Azure Proteção DDoS | Proteja as suas redes virtuais contra ataques volumétricos e de protocolo com o Azure DDoS Protection. Para mais informações, visite https://aka.ms/ddosprotectiondocs. | Modificar, Auditar, Desativar | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. | AuditIfNotExists, desativado | 1.0.0 |
| Gateways VPN devem usar apenas autenticação Azure Active Directory (Azure AD) para utilizadores point-to-site | Desativar métodos locais de autenticação melhora a segurança ao garantir que os Gateways VPN utilizam apenas identidades do Azure Active Directory para autenticação. Saiba mais sobre autenticação Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
| Web Application Firewall (WAF) deve estar ativado para Application Gateway | Implemente o Azure Web Application Firewall (WAF) à frente de aplicações web públicas para uma inspeção adicional do tráfego recebido. O Web Application Firewall (WAF) oferece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, como injeções SQL, Cross-Site Scripting, execuções locais e remotas de ficheiros. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| Web Application Firewall (WAF) deve usar o modo especificado para o Application Gateway | Exige que o uso do modo 'Deteção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Application Gateway. | Auditoria, Negar, Desativado | 1.0.0 |
| Web Application Firewall (WAF) deve usar o modo especificado para Azure Front Door Service | Exige que o uso do modo 'Deteção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Azure Front Door Service. | Auditoria, Negar, Desativado | 1.0.0 |
Próximos passos
- Veja os elementos incorporados no repositório Azure Policy GitHub.
- Revise a estrutura de definição Azure Policy.
- Veja Compreender os efeitos do Policy.