Встроенные определения в Политике Azure для Azure Resource Manager
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Azure Resource Manager. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Azure Resource Manager
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Журнал действий должен храниться как минимум один год | Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). | AuditIfNotExists, Disabled | 1.0.0 |
| Добавление тегов в группы ресурсов | Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Существующие группы ресурсов можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. | modify | 1.0.0 |
| Добавление тега в подписки | Добавляет указанный тег и значение в подписки с помощью задачи исправления. Если тег существует с другим значением, он не изменится. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Добавление или замена тегов в группах ресурсов | Добавляет или заменяет указанный тег и значение при создании или обновлении любой группы ресурсов. Существующие группы ресурсов можно исправить, активировав задачу исправления. | modify | 1.0.0 |
| Добавление или замена тега в подписках | Добавляет указанный тег и значение в подписки или заменяет их с помощью задачи исправления. Существующие группы ресурсов можно исправить, активировав задачу исправления. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Разрешенные расположения для групп ресурсов | Эта политика позволяет ограничить расположения, которые ваша организация может указать при создании групп ресурсов. Используется для соблюдения географических требований. | запретить | 1.0.0 |
| Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
| Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
| Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
| Добавление тега и его значения к группам ресурсов | Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Не изменяет теги групп ресурсов, созданных до применения этой политики, пока эти группы ресурсов не будут изменены. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). | append | 1.0.0 |
| Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" | Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
| Необходимо развернуть решение "Безопасность и аудит" Azure Monitor | Эта политика гарантирует развертывание решения "Безопасность и аудит". | AuditIfNotExists, Disabled | 1.0.0 |
| Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Настройка журналов действий Azure для их потоковой передачи в указанную рабочую область Log Analytics | Развертывает параметры диагностики действий Azure для потоковой передачи журналов аудита подписок в рабочую область Log Analytics для отслеживания событий на уровне подписки | DeployIfNotExists, Disabled | 1.0.0 |
| Возможность настройки Azure Defender для Службы приложений должна быть доступна | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | DeployIfNotExists, Disabled | 1.0.1 |
| Возможность настройки Azure Defender для базы данных SQL Azure должна быть доступна | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройте Azure Defender для включения реляционных баз данных с открытым кодом | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
| Возможность настройки Azure Defender для Resource Manager должна быть доступна | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
| Возможность настройки Azure Defender для серверов должна быть доступна | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка включения Azure Defender для серверов SQL Server на компьютерах | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка базовой версии Microsoft Defender для служба хранилища включена (только мониторинг активности) | Microsoft Defender для служба хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Эта политика включает базовые возможности Defender для служба хранилища (мониторинг активности). Чтобы включить полную защиту, которая также включает в себя проверку вредоносных программ и обнаружение угроз конфиденциальной информации, используйте полную политику включения: aka.ms/DefenderFor служба хранилища Policy. Дополнительные сведения о возможностях и преимуществах Defender для служба хранилища см. в aka.ms/DefenderFor служба хранилища. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка аварийного восстановления на виртуальных машинах путем включения репликации с помощью Azure Site Recovery | Виртуальные машины без конфигураций аварийного восстановления уязвимы к сбоям и другим прерываниям работы. Если на виртуальной машине еще не настроено аварийное восстановление, оно будет инициировано путем включения репликации с использованием заданных конфигураций для обеспечения непрерывности бизнес-процессов. При необходимости можно включить или исключить виртуальные машины, содержащие указанный тег, для управления областью назначения. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Настройка рабочей области Log Analytics и учетной записи службы автоматизации для централизации ведения журнала и мониторинга | Разверните группу ресурсов с рабочей областью Log Analytics и связанной учетной записью службы автоматизации, чтобы централизовать ведение журнала и мониторинг. Учетная запись службы автоматизации — это обязательный компонент для таких возможностей, как обновления и отслеживание изменений. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Настройка плана CSPM в Microsoft Defender | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка включения плана Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | DeployIfNotExists, Disabled | 1.0.2 |
| Выполните настройку, чтобы включить Microsoft Defender для Azure Cosmos DB | Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка плана Microsoft Defender для контейнеров | Новые возможности постоянно добавляются в план Defender для контейнеров, который может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. | DeployIfNotExists, Disabled | 1.0.0 |
| Настроить включение Microsoft Defender для контейнеров | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP_EXCLUDE_LINUX...) | Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известный как WDATP_EXCLUDE_LINUX_...) для включения автоматической подготовки MDE для серверов Linux. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP_UNIFIED_SOLUTION) | Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известный как WDATP_UNIFIED_SOLUTION) для включения автоматической подготовки единого агента MDE для Windows Server 2012R2 и 2016. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP) | Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известном как WDATP) для компьютеров с нижней версией Windows, подключенных к MDE через MMA, и автоматическую подготовку MDE в Windows Server 2019, виртуальном рабочем столе Windows и более поздних версиях. Необходимо включить, чтобы другие параметры (WDATP_UNIFIED и т. д.) работали. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка плана Microsoft Defender для Key Vault | Microsoft Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка плана Microsoft Defender для серверов | Новые возможности постоянно добавляются в Defender для серверов, что может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Microsoft Defender для служба хранилища (классической) для включения | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | DeployIfNotExists, Disabled | 1.0.2 |
| Настройка Microsoft Defender для включения служба хранилища | Microsoft Defender для служба хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Эта политика включает все возможности Defender для служба хранилища; Мониторинг активности, сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Дополнительные сведения о возможностях и преимуществах Defender для служба хранилища см. в aka.ms/DefenderFor служба хранилища. | DeployIfNotExists, Disabled | 1.2.0 |
| Настройка подписок для настройки предварительных версий функций | Эта политика оценивает существующие функции предварительной версии подписки. Подписки можно исправить, чтобы зарегистрировать новую предварительную версию функции. Новые подписки не будут автоматически зарегистрированы. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Развертывание: настройка правил подавления для оповещений Центра безопасности Azure | Вы можете подавлять избыточные оповещения Центра безопасности Azure, развернув соответствующие правила для своей подписки или группы управления. | deployIfNotExists | 1.0.0 |
| Развертывание экспорта в Концентратор событий в качестве доверенной службы для Microsoft Defender для облака данных | Включите экспорт в Концентратор событий в качестве надежной службы Microsoft Defender для облака данных. Эта политика развертывает экспорт в Концентратор событий в качестве доверенной конфигурации службы с условиями и целевым концентратором событий на назначенном область. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание экспорта в Центре событий для данных Microsoft Defender для облака | Включите экспорт в Центр событий для данных Microsoft Defender для облака. Эта политика отвечает за развертывание экспортированных данных в конфигурации концентратора событий с заданными вами условиями и целевым концентратором событий в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 4.2.0 |
| Развертывание экспорта в рабочую область Log Analytics для данных Microsoft Defender для облака | Включите экспорт в рабочую область Log Analytics для данных Microsoft Defender для облака. Эта политика отвечает за развертывание экспортированных данных в конфигурации рабочей области Log Analytics с заданными вами условиями и целевой рабочей областью в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 4.1.0 |
| Развертывание автоматизации рабочих процессов для получения оповещений из Microsoft Defender для облака | Включите автоматизацию оповещений Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 5.0.1 |
| Рекомендации по развертыванию автоматизации рабочих процессов для получения рекомендаций из Microsoft Defender для облака | Включите автоматизацию рекомендаций Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 5.0.1 |
| Развертывание автоматизации рабочих процессов для обеспечения соответствия требованиям из Microsoft Defender для облака | Включите автоматизацию соответствия Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 5.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| Включение для вашей подписки Microsoft Defender для облака | Выявляет существующие подписки, которые не отслеживается Microsoft Defender для облака, и защищает их с помощью бесплатных функций Defender для облака. Подписки, которые уже отслеживаются, считаются соответствующими требованиям. Чтобы зарегистрировать только что созданные подписки, откройте вкладку "Соответствие", выберите нужное назначение, не соответствующее требованиям, и создайте задачу исправления. | deployIfNotExists | 1.0.1 |
| Автоматическая подготовка агента Log Analytics для подписок в Центре безопасности с настраиваемой рабочей областью. | Разрешение Центру безопасности автоматически подготавливать агент Log Analytics для ваших подписок с целью отслеживания и сбора данных о безопасности с использованием настраиваемой рабочей области. | DeployIfNotExists, Disabled | 1.0.0 |
| Автоматическая подготовка агента Log Analytics для подписок в Центре безопасности с рабочей областью по умолчанию. | Разрешение Центру безопасности автоматически подготавливать агент Log Analytics для ваших подписок с целью отслеживания и сбора данных о безопасности с использованием рабочей области Центра безопасности Azure по умолчанию. | DeployIfNotExists, Disabled | 1.0.0 |
| Исключение ресурсов затрат на использование | Эта политика позволяет использовать ресурсы затрат на использование. Затраты на использование включают такие вещи, как хранилище с учетом лимитного использования и ресурсы Azure, которые выставляются на основе использования. | Audit, Deny, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| CSPM в Microsoft Defender должен быть включен | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для API | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и покрытие ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists, Disabled | 1.0.3 |
| Должен быть включен Microsoft Defender для Azure Cosmos DB | Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Требование тега и его значения в группах ресурсов | Принудительно задает нужный тег и его значение в группах ресурсов. | запретить | 1.0.0 |
| Требование тега в группах ресурсов | Принудительное задание тегов в группах ресурсов. | запретить | 1.0.0 |
| Настройка подписок для перехода на альтернативное решение для оценки уязвимостей | Microsoft Defender для облака предлагает сканирование уязвимостей для компьютеров без дополнительных затрат. Включение этой политики приведет к автоматическому распространению результатов из встроенного решения Microsoft Defender управление уязвимостями на всех поддерживаемых компьютерах Defender для облака. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| Подписка должна настроить Брандмауэр Azure Premium, чтобы обеспечить дополнительный уровень защиты | Брандмауэр Azure Premium обеспечивает расширенную защиту от угроз, которая соответствует потребностям высокочувствительных и регулируемых сред. Разверните Брандмауэр Azure Premium в подписке и убедитесь, что весь трафик службы защищен Брандмауэр Azure Premium. Дополнительные сведения о Брандмауэр Azure Premium см. в статьеhttps://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.