Определения встроенных политик в Политике Azure

Эта страница представляет собой индекс определений встроенных политик в Политике Azure.

Имя каждой из встроенных политик связано с определением политики на портале Azure. Чтобы просмотреть исходный репозиторий GitHub для службы "Политика Azure", перейдите по ссылке в столбце Источник. Встроенные инициативы группируются по свойству category (категория) в метаданных. Чтобы перейти к определенной категории, используйте ctrl-F для функции поиска в браузере.

API для FHIR

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Служба "Azure API для FHIR" должна использовать для шифрования неактивных данных ключ, управляемый клиентом Используйте ключи, управляемые клиентом, чтобы управлять шифрованием неактивных данных, хранящихся в службе "Azure API для FHIR", если это предусмотрено нормативными требованиями. Кроме того, ключи, управляемые клиентом,обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). audit, Audit, disabled, Disabled 1.1.0
Служба "Azure API для FHIR" должна использовать частный канал Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Средства CORS не должны разрешать всем доменам доступ к API для FHIR Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему API для FHIR. Чтобы защитить API для FHIR, запретите доступ для всех доменов и явно укажите домены, которым разрешено подключаться. audit, Audit, disabled, Disabled 1.1.0

Управление API

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
УПРАВЛЕНИЕ API API должны использовать только зашифрованные протоколы Чтобы обеспечить безопасность передаваемых данных, API-интерфейсы должны быть доступны только через зашифрованные протоколы, такие как HTTPS или Windows SharePoint Services. Избегайте использования незащищенных протоколов, таких как HTTP или WS. Audit, Disabled, Deny 2.0.2
Вызовы Управления API к серверным компонентам API должны проходить проверку подлинности Вызовы из Управления API к серверным компонентам должны использовать аутентификацию с помощью сертификатов или учетных данных. Это не применяется к серверным компонентам Service Fabric. Audit, Disabled, Deny 1.0.1
Вызовы Управления API к серверным компонентам API не должны обходить проверку отпечатка сертификата или имени Чтобы повысить безопасность API, Управление API должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка и имени SSL-сертификата. Audit, Disabled, Deny 1.0.2
Управление API конечная точка прямого управления не должна быть включена REST API прямого управления в Azure Управление API передает механизмы управления доступом на основе ролей, авторизации и регулирования Azure Resource Manager, что повышает уязвимость службы. Audit, Disabled, Deny 1.0.2
В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя Чтобы запретить общий доступ к секретам служб пользователям с правами только для чтения, в качестве минимальной версии API должна быть установлена версия 2019-12-01 или более поздняя. Audit, Deny, Disabled 1.0.1
Управление API именованные значения секрета должны храниться в Azure Key Vault Именованные значения — это коллекция пар имен и значений в каждой службе Управление API. Значения секретов можно хранить как зашифрованный текст в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность Управление API и секретов, сослаться на именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает детализированные политики управления доступом и смены секретов. Audit, Disabled, Deny 1.0.2
Служба Управления API должна использовать SKU с поддержкой виртуальных сетей Если для Управления API используются поддерживаемые SKU, при развертывании службы в виртуальной сети вы получаете расширенные функции управления сетью и ее конфигурацией безопасности. См. дополнительные сведения: https://aka.ms/apimvnet. Audit, Deny, Disabled 1.0.0
Службы управления API должны использовать виртуальную сеть Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. Audit, Deny, Disabled 1.0.2
Управление API должен отключить доступ к конечным точкам конфигурации службы общедоступной сети. Чтобы повысить безопасность служб Управление API, ограничьте подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов. AuditIfNotExists, Disabled 1.0.1
Управление API должен отключать имя пользователя и проверку подлинности паролей Чтобы повысить безопасность портала разработчика, необходимо отключить проверку подлинности имени пользователя и пароля в Управление API. Настройте проверку подлинности пользователей с помощью Azure AD или поставщиков удостоверений Azure AD B2C и отключите проверку подлинности по умолчанию. Audit, Disabled 1.0.1
Управление API подписки не должны быть область для всех API Управление API подписки должны быть область продукта или отдельного API вместо всех API, что может привести к чрезмерному воздействию данных. Audit, Disabled, Deny 1.1.0
Версия платформы azure Управление API должна быть stv2 Версия вычислительной платформы azure Управление API stv1 будет прекращена с 31 августа 2024 года, и эти экземпляры должны быть перенесены на платформу вычислений stv2 для продолжения поддержки. Дополнительные сведения см. на странице https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. Audit, Deny, Disabled 1.0.0
Настройка служб Управление API для отключения доступа к конечным точкам конфигурации общедоступной службы Управление API Чтобы повысить безопасность служб Управление API, ограничьте подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов. DeployIfNotExists, Disabled 1.1.0
Изменение Управление API для отключения проверки подлинности имени пользователя и пароля Чтобы повысить безопасность учетных записей пользователей портала разработчика и их учетных данных, настройте проверку подлинности пользователей с помощью Azure AD или поставщиков удостоверений Azure AD B2C и отключите имя пользователя и пароль по умолчанию. Изменить 1.1.0

Конфигурация приложений

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Конфигурация приложений должна отключать доступ из общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
Служба "Конфигурация приложений" должна использовать управляемый клиентом ключ Ключи, управляемые клиентом, обеспечивают улучшенную защиту данных, позволяя вам управлять своими ключами шифрования. Это часто необходимо для удовлетворения требований по обеспечению соответствия. Audit, Deny, Disabled 1.1.0
Конфигурация приложений должна использовать SKU с поддержкой приватного канала При использовании поддерживаемого номера SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположениях. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
Служба "Конфигурация приложений" должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
В хранилищах конфигурации приложений должны быть отключены методы локальной проверки подлинности Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Конфигурация приложений хранилищам требуются удостоверения Microsoft Entra исключительно для проверки подлинности. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Deny, Disabled 1.0.1
Настройка хранилищ конфигурации приложений для отключения локальных методов проверки подлинности Отключите локальные методы проверки подлинности, чтобы Конфигурация приложений хранилища требовали только удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2161954. Modify, Disabled 1.0.1
Настройка Конфигурации приложений для отключения доступа из общедоступной сети Отключите доступ к общедоступной сети для Конфигурации приложений, чтобы она была недоступна через общедоступный Интернет. Эта конфигурация помогает обеспечить защиту от утечки данных. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. Modify, Disabled 1.0.0
Настройка частных зон DNS для частных конечных точек с подключением к Конфигурации приложений Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS может быть связана с вашей виртуальной сетью для разрешения экземпляров Конфигурации приложений. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0
Настройка частных конечных точек для Конфигурации приложений Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Конфигурации приложений, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0

Платформа приложений

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Аудит экземпляров Azure Spring Cloud с отключенной распределенной трассировкой Средства распределенной трассировки в Azure Spring Cloud позволяют разработчикам выполнять отладку и мониторинг сложных взаимодействий между микрослужбами в приложении. Распределенные средства трассировки должны быть включены и находиться в работоспособном состоянии. Audit, Disabled 1.0.0 (предварительная версия)
Служба Azure Spring Cloud должна использовать внедрение сети Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. Audit, Disabled, Deny 1.2.0

Служба приложений

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Слоты приложений Службы приложений должны быть внедрены в виртуальную сеть Внедрение приложений Службы приложений в виртуальную сеть открывает расширенные возможности обеспечения безопасности и сетевого взаимодействия Службы приложений, а также позволяет вам управлять конфигурацией безопасности сети. См. дополнительные сведения: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, Disabled 1.0.0
Служба приложений слоты приложений должны отключить доступ к общедоступной сети Отключение доступа из общедоступной сети повышает безопасность, гарантируя, что Служба приложений не будет видна в общедоступном Интернете. Создание частных конечных точек может ограничить доступ к Службе приложений. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
Служба приложений слоты приложений должны включать маршрутизацию конфигурации в Azure виртуальная сеть По умолчанию конфигурация приложения, например извлечение образов контейнеров и подключение хранилища содержимого, не будет перенаправлена через интеграцию региональной виртуальной сети. Использование API для задания параметров маршрутизации значение true обеспечивает трафик конфигурации через виртуальная сеть Azure. Эти параметры позволяют использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, а конечные точки служб — закрытыми. Дополнительные сведения см. на странице https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, Disabled 1.0.0
Служба приложений слоты приложений должны включать исходящий трафик, отличный от RFC 1918, в Azure виртуальная сеть Если используется интеграция с региональной виртуальной сетью Azure, приложение по умолчанию перенаправляет трафик RFC1918 только в соответствующую виртуальную сеть. Установив с помощью API для параметра vnetRouteAllEnabled значение true, вы разрешите поступление всего исходящего трафика в виртуальную сеть Azure. Этот параметр позволяет использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, для всего исходящего трафика из приложения Службы приложений. Audit, Deny, Disabled 1.0.0
Служба приложений слоты приложений должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
В приложениях Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний по протоколу FTP Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений слоты требуют только удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
В слотах приложений Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний сайтов SCM Отключение локальных методов проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений слоты требуют исключительно удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.4
Служба приложений слоты приложений должны отключать удаленную отладку Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 1.0.1
Служба приложений слоты приложений должны иметь включенные журналы ресурсов Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 1.0.0
Служба приложений слоты приложений не должны иметь CORS, чтобы разрешить каждому ресурсу доступ к приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 1.0.0
Слоты приложения Службы приложений должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 2.0.0
Слоты приложения Службы приложений должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 1.0.0
Слоты приложений Службы приложений должны использовать общую папку Azure для своих каталогов содержимого Каталог содержимого приложения должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
Служба приложений слоты приложений должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 1.0.0
Служба приложений слоты приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 1.0.0
Служба приложений слоты приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 1.0.0
Служба приложений слоты приложений, использующие Java, должны использовать указанную версию Java. Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Использовать последнюю версию Java для приложений Служба приложений рекомендуется, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новых функциональных возможностей последней версии. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 1.0.0
Служба приложений слоты приложений, использующие PHP, должны использовать указанную версию PHP. Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 1.0.0
Служба приложений слоты приложений, использующие Python, должны использовать указанную версию Python. Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений должны быть внедрены в виртуальную сеть Внедрение приложений Службы приложений в виртуальную сеть открывает расширенные возможности обеспечения безопасности и сетевого взаимодействия Службы приложений, а также позволяет вам управлять конфигурацией безопасности сети. См. дополнительные сведения: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, Disabled 3.0.0
Служба приложений приложения должны отключить доступ к общедоступной сети Отключение доступа из общедоступной сети повышает безопасность, гарантируя, что Служба приложений не будет видна в общедоступном Интернете. Создание частных конечных точек может ограничить доступ к Службе приложений. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.1.0
Служба приложений приложения должны включить маршрутизацию конфигурации в Azure виртуальная сеть По умолчанию конфигурация приложения, например извлечение образов контейнеров и подключение хранилища содержимого, не будет перенаправлена через интеграцию региональной виртуальной сети. Использование API для задания параметров маршрутизации значение true обеспечивает трафик конфигурации через виртуальная сеть Azure. Эти параметры позволяют использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, а конечные точки служб — закрытыми. Дополнительные сведения см. на странице https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, Disabled 1.0.0
Приложения службы приложений должны разрешать исходящий трафик, не связанный с RFC 1918, в виртуальную сеть Azure Если используется интеграция с региональной виртуальной сетью Azure, приложение по умолчанию перенаправляет трафик RFC1918 только в соответствующую виртуальную сеть. Установив с помощью API для параметра vnetRouteAllEnabled значение true, вы разрешите поступление всего исходящего трафика в виртуальную сеть Azure. Этот параметр позволяет использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, для всего исходящего трафика из приложения Службы приложений. Audit, Deny, Disabled 1.0.0
В приложениях Службы приложений должна быть включена проверка подлинности Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. AuditIfNotExists, Disabled 2.0.1
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
В приложениях Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний по протоколу FTP Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений только требуют удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
В приложениях Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний сайтов SCM Отключение методов локальной проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений требуются только удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях Службы приложений должны быть включены журналы ресурсов Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 2.0.1
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений должны использовать SKU с поддержкой приватного канала При использовании поддерживаемых номеров SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположениях. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с приложениями, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/private-link. Audit, Deny, Disabled 4.1.0
Приложения Службы приложений должны использовать общую папку Azure для своих каталогов содержимого Каталог содержимого приложения должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 3.0.0
Приложения Службы приложений должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со Службой приложений, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/private-link. AuditIfNotExists, Disabled 1.0.1
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.0.1
Служба приложений приложения, использующие Java, должны использовать указанную версию Java. Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Использовать последнюю версию Java для приложений Служба приложений рекомендуется, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новых функциональных возможностей последней версии. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 3.1.0
Служба приложений приложения, использующие PHP, должны использовать указанную версию PHP. Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 3.2.0
Служба приложений приложения, использующие Python, должны использовать указанную версию Python. Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 4.1.0
Приложения Среды службы приложений не должны быть доступны через общедоступный Интернет Чтобы гарантировать, что приложения, развернутые в Среде службы приложений, недоступны через общедоступный Интернет, необходимо развернуть Среду службы приложений с IP-адресом в виртуальной сети. Чтобы задать IP-адрес для виртуальной сети, Среда службы приложений должна быть развернута с внутренней подсистемой балансировки нагрузки. Audit, Deny, Disabled 3.0.0
Среду службы приложений следует настраивать для работы с наиболее стойкими комплектами шифров TLS Для правильной работы Среды службы приложений требуются два минимальных и наиболее сильных комплекта шифров: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, Disabled 1.0.0
Среда службы приложений должна быть подготовлена с использованием последних версий Разрешена подготовка Среды службы приложений только версии 2 или 3. Более старые версии Среды службы приложений требуют ручное управление ресурсами Azure и имеют более строгие ограничения масштабирования. Audit, Deny, Disabled 1.0.0
В Среде службы приложений должно быть включено внутреннее шифрование Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
В Среде службы приложений должны быть отключены протоколы TLS 1.0 и 1.1 TLS 1.0 и 1.1 являются устаревшими протоколами, которые не поддерживают современные алгоритмы шифрования. Отключение входящего трафика TLS 1.0 и 1.1 помогает защитить приложения в Среде службы приложений. Audit, Deny, Disabled 2.0.1
Настройка слотов приложений Службы приложений для отключения локальной проверки подлинности для развертываний по протоколу FTP Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений слоты требуют только удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Настройка слотов приложений Службы приложений для отключения локальной проверки подлинности для сайтов SCM Отключение локальных методов проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений слоты требуют исключительно удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Настройка слотов приложений Служба приложений для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для Службы приложений, чтобы она не была доступна из общедоступной сети Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
Настройка доступа к слотам приложения Службы приложений только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Modify, Disabled 2.0.0
Настройка слотов приложений Служба приложений для отключения удаленной отладки Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. DeployIfNotExists, Disabled 1.1.0
Настройка слотов приложений Служба приложений для использования последней версии TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. DeployIfNotExists, Disabled 1.1.0
Настройка приложений Службы приложений для отключения локальной проверки подлинности для развертываний по протоколу FTP Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений только требуют удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Настройка приложений Службы приложений для отключения локальной проверки подлинности для сайтов SCM Отключение методов локальной проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений требуются только удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Настройка приложений Служба приложений для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для Службы приложений, чтобы она не была доступна из общедоступной сети Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
Настройка доступа к приложениям Службы приложений только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Modify, Disabled 2.0.0
Настройка приложений Службы приложений для отключения удаленной отладки Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. DeployIfNotExists, Disabled 1.0.0
Настройка приложений Службы приложений для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывает виртуальную сеть со службой приложений. См. дополнительные сведения: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, Disabled 1.0.1
Настройка приложений Службы приложений для использования последней версии TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. DeployIfNotExists, Disabled 1.0.1
Настройка слотов приложения-функции для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для приложений-функций, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
Настройка слотов приложений-функций для доступа только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Modify, Disabled 2.0.0
Настройка слотов приложения-функции для отключения удаленной отладки Для удаленной отладки требуется открыть входящие порты в приложении-функции. Удаленную отладку необходимо отключить. DeployIfNotExists, Disabled 1.1.0
Настройка слотов приложения-функции для использования последней версии TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. DeployIfNotExists, Disabled 1.1.0
Настройка приложений-функций для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для приложений-функций, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
Настройка приложений-функций для доступа только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Modify, Disabled 2.0.0
Настройка приложений-функций для отключения удаленной отладки Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. DeployIfNotExists, Disabled 1.0.0
Настройка приложений-функций для использования последней версии TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. DeployIfNotExists, Disabled 1.0.1
Слоты приложения-функции должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что приложение-функция не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие приложения-функции. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
Слоты приложения-функции должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
Слоты приложений-функций должны отключать удаленную отладку Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 1.0.0
В слотах приложений-функций настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 1.0.0
Слоты приложения-функции должны быть доступны только по HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 2.0.0
Слоты приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 1.0.0
Слоты приложения-функции должны использовать общую папку Azure для своих каталогов содержимого Каталог содержимого приложений-функций должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
Слоты приложений-функций должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 1.0.0
Слоты приложений-функций должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 1.0.0
Слоты приложений-функций, использующие Java, должны использовать указанную версию Java. Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 1.0.0
Слоты приложения-функции, использующие Python, должны использовать указанную версию Python. Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 1.0.0
Приложения-функции должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что приложение-функция не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие приложения-функции. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
В приложениях-функциях должна быть включена проверка подлинности Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать общую папку Azure для своих каталогов содержимого Каталог содержимого приложений-функций должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.0.1
Приложения-функции, использующие Java, должны использовать указанную версию Java. Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 3.1.0
Приложения-функции, использующие Python, должны использовать указанную версию Python. Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. AuditIfNotExists, Disabled 4.1.0

Аттестация

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Поставщики Аттестации Azure должны отключить доступ из общедоступной сети Чтобы повысить уровень безопасности Службы Аттестации Azure, убедитесь, что она не открыта для общедоступного Интернета и доступна только из частной конечной точки. Отключите свойство доступа из общедоступной сети, как описано на странице aka.ms/azureattestation. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Audit, Deny, Disabled 1.0.0
Поставщики Аттестации Azure должны использовать частные конечные точки Частные конечные точки позволяют подключать поставщиков Аттестации Azure к ресурсам Azure без отправки трафика через общедоступный Интернет. Частные конечные точки предотвращают общий доступ и тем самым защищают от нежелательного анонимного доступа. AuditIfNotExists, Disabled 1.0.0

Автоматическое управление

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[предварительная версия]: на компьютерах должно быть включено управляемое удостоверение. Ресурсы, управляемые automanage, должны иметь управляемое удостоверение. Audit, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: назначение профиля конфигурации автоуправляемого управления должно соответствовать требованиям Ресурсы, управляемые automanage, должны иметь состояние "Соответствие" или "Соответствие". AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: на виртуальных машинах должна быть включена диагностика загрузки Для виртуальных машин Azure должна быть включена загрузка diagniostics. Audit, Disabled 1.0.0 (предварительная версия)
Настройка виртуальных машин для подключения к Автоматическому управлению Azure Служба "Автоматическое управление Azure" регистрирует, настраивает и отслеживает виртуальные машины с использованием рекомендации, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения автоматического управления в выбранной области. AuditIfNotExists, DeployIfNotExists, Disabled 2.4.0
Настройка виртуальных машин для подключения к Автоматическому управлению Azure с настраиваемым профилем конфигурации Служба "Автоматическое управление Azure" регистрирует, настраивает и отслеживает виртуальные машины с использованием рекомендации, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения Автоматического управления с собственным настраиваемым профилем конфигурации к выбранной области. AuditIfNotExists, DeployIfNotExists, Disabled 1.4.0
Для виртуальных машин Windows Server Azure Edition должно быть включено горячее исправление Сократите число перезагрузок и быстро устанавливайте обновления с помощью горячих исправлений. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/automanage/automanage-hotpatch. Audit, Deny, Disabled 1.0.0

Автоматизация

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетная запись службы автоматизации должна иметь управляемое удостоверение Используйте управляемые удостоверения в качестве рекомендуемого метода проверки подлинности в ресурсах Azure из модулей runbook. Управляемое удостоверение для проверки подлинности является более безопасным и устраняет затраты на управление, связанные с использованием учетной записи RunAs в коде runbook. Audit, Disabled 1.0.0
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
Учетные записи службы автоматизации должны отключать доступ из общедоступных сетей Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость для ресурсов учетной записи службы автоматизации, создав вместо этого частные конечные точки. См. дополнительные сведения: https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Deny, Disabled 1.0.0
Для учетных записей службы автоматизации Azure методы локальной проверки подлинности должны быть отключены Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что для проверки подлинности учетных записей службы автоматизации Azure требуются исключительно удостоверения Azure Active Directory. Audit, Deny, Disabled 1.0.0
Учетные записи службы автоматизации Azure должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в учетных записях службы автоматизации Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
Настройка службы автоматизации Azure для отключения локальной проверки подлинности Отключите локальные способы проверки подлинности, чтобы для проверки подлинности учетных записей службы автоматизации Azure требовались исключительно удостоверения Azure Active Directory. Modify, Disabled 1.0.0
Настройка отключения доступа из общедоступной сети для учетных записей службы автоматизации Azure Отключите доступ к общедоступной сети для учетной записи службы автоматизации Azure, чтобы он был недоступен через общедоступный Интернет. Эта конфигурация помогает обеспечить защиту от утечки данных. Вы можете ограничить уязвимость ресурсов учетной записи службы автоматизации, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/privateendpoints. Modify, Disabled 1.0.0
Настройка учетных записей службы автоматизации Azure с частными зонами DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Для подключения к учетной записи службы автоматизации Azure через Приватный канал Azure требуется правильная настройка частной зоны DNS. См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Настройка подключений частной конечной точки для учетных записей службы автоматизации Azure Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей службы автоматизации Azure в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках в службе автоматизации Azure: https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Disabled 1.0.0
Подключения частной конечной точки для учетных записей службы автоматизации должны быть включены Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей службы автоматизации в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках в службе автоматизации Azure: https://docs.microsoft.com/azure/automation/how-to/private-link-security. AuditIfNotExists, Disabled 1.0.0

Azure Active Directory

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для управляемых доменов доменных служб Azure Active Directory следует использовать только протокол TLS 1.2 Для управляемых доменов используйте только протокол TLS 1.2. По умолчанию доменные службы Azure AD позволяют использовать такие шифры, как NTLM версии 1 и TLS версии 1. Эти шифры могут потребоваться для некоторых устаревших приложений, но они считаются ненадежными и их можно отключить за ненадобностью. Если включено использование только протокола TLS 1.2, выполнение запроса любого клиента без использования TLS 1.2 завершится ошибкой. Узнайте больше по адресу https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Deny, Disabled 1.1.0

Службы Искусственного интеллекта Azure

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
Журналы диагностики в ресурсах служб ИИ Azure должны быть включены Включите журналы для ресурсов служб ИИ Azure. Это позволяет повторно создавать тропы действий для расследования, когда происходит инцидент безопасности или сеть скомпрометирована. AuditIfNotExists, Disabled 1.0.0

Azure Arc

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]: запретить создание или изменение лицензии расширенной безопасности Обновления (ESUS). Эта политика позволяет ограничить создание или изменение лицензий ESU для компьютеров Windows Server 2012 Arc. Дополнительные сведения о ценах см. на сайте https://aka.ms/ArcWS2012ESUPricing Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: включите лицензию на расширенную безопасность Обновления (ESUs), чтобы обеспечить защиту компьютеров Windows 2012 после завершения жизненного цикла поддержки. Включите лицензию расширенной безопасности Обновления (ESUs), чтобы обеспечить защиту компьютеров Windows 2012 даже после завершения жизненного цикла поддержки. Узнайте, как подготовиться к доставке расширенных Обновления безопасности для Windows Server 2012 через AzureArc.https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates Дополнительные сведения о ценах см. на сайте https://aka.ms/ArcWS2012ESUPricing DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
Области приватного канала Azure Arc должны быть настроены с частной конечной точкой Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с областями приватного канала Azure Arc, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. Audit, Disabled 1.0.0
Области приватного канала Azure Arc должны отключить доступ к публичной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурсы Arc Azure не смогут установить подключение через общедоступный Интернет. Создание частных конечных точек позволяет ограничить уязвимость ресурсов Azure Arc. См. дополнительные сведения: https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Кластеры kubernetes с поддержкой Azure Arc должны быть настроены с помощью области Приватный канал Azure Arc Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Серверы с поддержкой Azure Arc должны быть настроены с областью приватного канала Azure Arc Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Настройте области приватного канала Azure Arc для отключения доступа к публичной сети Отключите доступ к общедоступной сети для области приватного канала Azure Arc, чтобы связанные ресурсы Arc Azure не могли подключаться к службам Azure Arc через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/arc/privatelink. Modify, Disabled 1.0.0
Настройка областей приватного канала Azure Arc для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью, чтобы связать ее с областью приватного канала Azure Arc. См. дополнительные сведения: https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 1.2.0
Настройка областей приватного канала Azure Arc с частными конечными точками Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставив частные конечные точки с областями приватного канала Azure Arc, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 2.0.0
Настройка кластеров Kubernetes с поддержкой Azure Arc для использования области Приватный канал Azure Arc Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. Modify, Disabled 1.0.0
Настройка серверов с поддержкой Azure Arc для использования области приватного канала Azure Arc Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. Modify, Disabled 1.0.0

Azure Data Explorer

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Все Администратор базы данных в Обозреватель данных Azure должны быть отключены Отключите всю роль администратора базы данных, чтобы ограничить предоставление роли пользователя с высоким уровнем привилегий или администратора. Audit, Deny, Disabled 1.0.0
Кластер Обозреватель данных Azure должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с кластером azure Data Обозреватель риск утечки данных снижается. Дополнительные сведения о приватных каналах см. здесь: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. Audit, Disabled 1.0.0
Во время шифрования неактивных данных в Azure Data Explorer должен использоваться управляемый клиентом ключ Включение шифрования неактивных данных с помощью управляемого клиентом ключа в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов с особыми нормативными требованиями. Для управления ключами требуется Key Vault. Audit, Deny, Disabled 1.0.0
Azure Data Обозреватель должен использовать номер SKU, поддерживающий приватный канал. При использовании поддерживаемых номеров SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположениях. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с приложениями, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/private-link. Audit, Deny, Disabled 1.0.0
Настройка кластеров Обозреватель данных Azure с частными конечными точками Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с Обозреватель данных Azure, вы можете снизить риски утечки данных. Дополнительные сведения: [ServiceSpecificAKA.ms]. DeployIfNotExists, Disabled 1.0.0
Настройка Обозреватель данных Azure для отключения доступа к общедоступной сети Отключение свойства доступа к общедоступной сети завершает работу общедоступного подключения, таким образом, что доступ к данным Azure Обозреватель можно получить только из частной конечной точки. Эта конфигурация отключает доступ к общедоступной сети для всех кластеров Обозреватель данных Azure. Modify, Disabled 1.0.0
В Azure Data Explorer должно быть включено шифрование дисков Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Audit, Deny, Disabled 2.0.0
В Azure Data Explorer должно быть включено двойное шифрование Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Audit, Deny, Disabled 2.0.0
Доступ к общедоступной сети в Обозреватель данных Azure должен быть отключен Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к данным Azure Обозреватель только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.0.0
Для Azure Data Explorer должно быть включено внедрение в виртуальную сеть Обеспечьте безопасность периметра сети посредством внедрения в виртуальную сеть. Это позволит применять правила группы безопасности сети, подключать локальные ресурсы и защищать источники подключения к данным, используя конечные точки служб. Audit, Deny, Disabled 1.0.0

Azure Databricks

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Кластеры Azure Databricks должны отключить общедоступный IP-адрес Отключение общедоступного IP-адреса кластеров в рабочих областях Azure Databricks повышает безопасность, гарантируя, что кластеры не предоставляются в общедоступном Интернете. См. дополнительные сведения: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. Audit, Deny, Disabled 1.0.1
Рабочие области Azure Databricks должны находиться в виртуальной сети Azure виртуальная сеть обеспечивают повышенную безопасность и изоляцию для рабочих областей Azure Databricks, а также подсети, политики управления доступом и другие функции для дальнейшего ограничения доступа. См. дополнительные сведения: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. Audit, Deny, Disabled 1.0.2
Рабочие области Azure Databricks должны быть SKU класса Premium, поддерживающие такие функции, как приватный канал, управляемый клиентом ключ для шифрования Только разрешить рабочую область Databricks с Sku premium, которую ваша организация может развернуть для поддержки таких функций, как Приватный канал, управляемый клиентом ключ для шифрования. См. дополнительные сведения: https://aka.ms/adbpe. Audit, Deny, Disabled 1.0.1
Для рабочих областей Azure Databricks должен быть отключен доступ из общедоступных сетей Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вместо этого можно управлять воздействием ресурсов, создавая частные конечные точки. См. дополнительные сведения: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. Audit, Deny, Disabled 1.0.1
Рабочие области Azure Databricks должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с рабочими областями Azure Databricks, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/adbpe. Audit, Disabled 1.0.2
Настройка рабочей области Azure Databricks для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения рабочих областей Azure Databricks. См. дополнительные сведения: https://aka.ms/adbpe. DeployIfNotExists, Disabled 1.0.1
Настройка рабочих областей Azure Databricks с помощью частных конечных точек Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с рабочими областями Azure Databricks, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/adbpe. DeployIfNotExists, Disabled 1.0.2
Настройка параметров диагностики для рабочих областей Azure Databricks в рабочей области Log Analytics Развертывает параметры диагностики для рабочих областей Azure Databricks для потоковой передачи журналов ресурсов в рабочую область Log Analytics при создании или обновлении любой рабочей области Azure Databricks. DeployIfNotExists, Disabled 1.0.1
Журналы ресурсов в рабочих областях Azure Databricks должны быть включены Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. AuditIfNotExists, Disabled 1.0.1

Центр оборудования Azure для пограничных вычислений

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для устройств Центра оборудования Azure для граничных вычислений должна быть включена поддержка двойного шифрования Убедитесь, что для устройств, заказанных в Центре оборудования Azure для граничных вычислений, включена поддержка двойного шифрования. Это необходимо для защиты неактивных данных на устройствах. Этот параметр добавляет второй уровень шифрования данных. Audit, Deny, Disabled 2.0.0

Нагрузочное тестирование Azure

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ресурс нагрузочного тестирования Azure должен использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого для Нагрузочного тестирования Azure. По умолчанию шифрование выполняется с помощью управляемых службой ключей. Управляемые клиентом ключи позволяют шифровать данные с помощью ключа Azure Key Vault, который вы создали и которым владеете. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. Audit, Deny, Disabled 1.0.0

Azure Purview

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи Azure Purview должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с учетными записями Azure Purview вместо всей службы также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/purview-private-link. Audit, Disabled 1.0.0

Azure Stack Edge

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Устройства Azure Stack Edge должны использовать двойное шифрование Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. audit, Audit, deny, Deny, disabled, Disabled 1.1.0

Диспетчер обновлений Azure

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка периодических проверка для отсутствующих обновлений системы на серверах с поддержкой Azure Arc Настройте автоматическую оценку (каждые 24 часа) для обновлений ОС на серверах с поддержкой Azure Arc. Вы можете управлять областью назначения в соответствии с подпиской, группой ресурсов, расположением или тегом виртуальной машины. Дополнительные сведения см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.2.1
Настройка периодических проверка для отсутствующих обновлений системы на виртуальных машинах Azure Настройте автоматическую оценку (каждые 24 часа) для обновлений ОС на собственных виртуальных машинах Azure. Вы можете управлять областью назначения в соответствии с подпиской, группой ресурсов, расположением или тегом виртуальной машины. Дополнительные сведения см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 4.8.0
Компьютеры должны быть настроены для периодического проверка для отсутствующих обновлений системы Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Deny, Disabled 3.7.0
Планирование повторяющихся обновлений с помощью Диспетчера обновлений Azure Диспетчер обновлений Azure можно использовать в Azure для сохранения расписания повторяющегося развертывания для установки обновлений операционной системы для компьютеров Windows Server и Linux в Azure, в локальных средах и в других облачных средах, подключенных с помощью серверов с поддержкой Azure Arc. Эта политика также изменит режим исправления для виртуальной машины Azure на AutomaticByPlatform. Дополнительные сведения приведены здесь: https://aka.ms/umc-scheduled-patching DeployIfNotExists, Disabled 3.10.0

Резервное копирование

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[предварительная версия]: расширение Azure Backup должно быть установлено в кластерах AKS Убедитесь, что установка расширения резервного копирования в кластерах AKS позволяет использовать Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[предварительная версия]. Для кластеров AKS необходимо включить резервное копирование Azure Обеспечьте защиту кластеров AKS, включив Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: azure Backup должен быть включен для больших двоичных объектов в учетных записях служба хранилища Обеспечьте защиту учетных записей служба хранилища, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[предварительная версия]. Для Управляемые диски необходимо включить azure Backup Обеспечьте защиту Управляемые диски, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Хранилища Azure Backup Vault должны использовать ключи, управляемые клиентом, для шифрования данных резервного копирования. Кроме того, можно применить инфракрасное шифрование. Эта политика следует "эффекту", если Параметры шифрования включены для хранилищ резервных копий в область. Кроме того, можно проверка, если в Backup Vault также включено шифрование инфраструктуры. Узнайте больше по адресу https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Обратите внимание, что при использовании эффекта "Запрет" необходимо включить шифрование Параметры в существующих хранилищах резервных копий, чтобы разрешить другие операции обновления в хранилище. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: хранилища служб восстановления Azure должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что хранилище служб восстановления не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие хранилища служб восстановления. См. дополнительные сведения: https://aka.ms/AB-PublicNetworkAccess-Deny. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Хранилища Служб восстановления Azure должны использовать управляемые клиентом ключи для шифрования данных резервных копий. Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных резервных копий. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Хранилища Служб восстановления Azure должны использовать приватный канал для резервного копирования Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с хранилищами Служб восстановления снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/AB-PrivateEndpoints. Audit, Disabled 2.0.0-preview
[Предварительная версия]. Настройка хранилищ служб восстановления Azure для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для хранилища служб восстановления, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/AB-PublicNetworkAccess-Deny. Modify, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка резервного копирования BLOB-объектов для учетных записях хранения с указанным тегом в существующее резервное хранилище в том же регионе Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
Предварительная версия. Настройка резервного копирования BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в резервное хранилище в том же регионе Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Хранилища Служб восстановления нужно настроить на использование частных зон DNS для резервного копирования Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в хранилище Служб восстановления. См. дополнительные сведения: https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]. Хранилища Служб восстановления нужно настроить на использование частных конечных точек для резервного копирования Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с хранилищами Служб восстановления, вы можете снизить риски утечки данных. Обратите внимание, что ваши хранилища должны соответствовать определенным предварительным условиям, чтобы иметь право на настройку частных конечных точек. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Отключение восстановления между подписками для хранилищ служб восстановления Azure Отключите или окончательное восстановление между подписками для хранилища служб восстановления, чтобы целевые объекты восстановления не были в другой подписке из подписки хранилища. См. дополнительные сведения: https://aka.ms/csrenhancements. Modify, Disabled 1.1.0 (предварительная версия)
[Предварительная версия]: отключение восстановления между подписками для резервных хранилищ Отключите или окончательное восстановление между подписками для хранилища резервных копий, чтобы целевые объекты восстановления не были в другой подписке из подписки хранилища. См. дополнительные сведения: https://aka.ms/csrstatechange. Modify, Disabled 1.1.0 (предварительная версия)
[предварительная версия]: не разрешайте создание хранилищ служб восстановления выбранной избыточности хранилища. Хранилища служб восстановления можно создавать с помощью любого из трех вариантов избыточности хранилища сегодня, а именно локально избыточного служба хранилища, хранилища с избыточностью между зонами и геоизбыточного хранилища. Если политикам в вашей организации требуется заблокировать создание хранилищ, принадлежащих определенному типу избыточности, вы можете добиться того же использования этой политики Azure. Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: неизменяемость должна быть включена для хранилищ резервных копий Эта политика проверяет, включено ли свойство неизменяемых хранилищ для хранилищ резервных копий в область. Это помогает защитить данные резервного копирования от удаления до его предполагаемого истечения срока действия. Узнайте больше по адресу https://aka.ms/AB-ImmutableVaults. Audit, Disabled 1.0.1 (предварительная версия)
[предварительная версия]: неизменяемость должна быть включена для хранилищ служб восстановления Эта политика проверяет, включено ли свойство неизменяемых хранилищ для хранилищ служб восстановления в область. Это помогает защитить данные резервного копирования от удаления до его предполагаемого истечения срока действия. Узнайте больше по адресу https://aka.ms/AB-ImmutableVaults. Audit, Disabled 1.0.1 (предварительная версия)
[предварительная версия]: для хранилищ резервных копий необходимо включить многопользовательскую авторизацию (MUA). Эта политика проверяет, включена ли многопользовательская авторизация (MUA) для резервных хранилищ. MUA помогает защитить резервные хранилища, добавив дополнительный уровень защиты к критически важным операциям. Дополнительные сведения см. по адресу https://aka.ms/mua-for-bv. Audit, Disabled 1.0.0 (предварительная версия)
[предварительная версия]. Для хранилищ служб восстановления необходимо включить многопользовательскую авторизацию (MUA). Эта политика проверяет, включена ли многопользовательская авторизация (MUA) для хранилищ служб восстановления. MUA помогает защитить хранилища служб восстановления, добавив дополнительный уровень защиты в критически важные операции. Дополнительные сведения см. по адресу https://aka.ms/MUAforRSV. Audit, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: обратимое удаление должно быть включено для хранилищ служб восстановления. Эта политика проверяет, включена ли обратимое удаление для хранилищ служб восстановления в область. Обратимое удаление может помочь вам восстановить данные даже после удаления. Узнайте больше по адресу https://aka.ms/AB-SoftDelete. Audit, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: обратимое удаление должно быть включено для резервных хранилищ Эта политика проверяет, включен ли обратимое удаление для хранилищ резервных копий в область. Обратимое удаление может помочь вам восстановить данные после удаления. Дополнительные сведения см. на странице https://aka.ms/AB-SoftDelete. Audit, Disabled 1.0.0 (предварительная версия)
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
Настройка резервного копирования виртуальных машин с указанным тегом в новое хранилище Служб восстановления с политикой по умолчанию Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Настройка резервного копирования виртуальных машин с указанным тегом в существующее хранилище Служб восстановления в том же расположении Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Настройка резервного копирования виртуальных машин без указанного тега в новое хранилище Служб восстановления с политикой по умолчанию Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Настройка процедуры резервное копирование на виртуальных машинах без заданного тега в существующее хранилище служб восстановления в том же месте Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Развертывание параметров диагностики для потоковой передачи данных из хранилища Служб восстановления в рабочую область Log Analytics по определенным категориям ресурсов. Развертывание параметров диагностики для потоковой передачи данных из хранилища Служб восстановления в рабочую область Log Analytics по определенным категориям ресурсов. Если какая-то из категорий не включена, создается новый параметр диагностики. deployIfNotExists 1.0.2

Пакетная служба

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетная запись пакетной службы Azure должна использовать управляемые клиентом ключи для шифрования данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетной записи пакетной службы. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Для пулов пакетной службы Azure должно быть включено шифрование дисков Включение шифрования дисков для пакетной службы Azure гарантирует, что данные в вычислительном узле пакетной службы Azure всегда шифруются в неактивном виде. Дополнительные сведения о шифровании дисков в пакетной службе см. на странице https://docs.microsoft.com/azure/batch/disk-encryption. Audit, Disabled, Deny 1.0.0
Для учетных записей пакетной службы методы локальной проверки подлинности должны быть отключены Отключение методов локальной проверки подлинности повышает безопасность, так как гарантирует, что учетные записи пакетной службы будут требовать для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/batch/auth. Audit, Deny, Disabled 1.0.0
Настройка учетных записей пакетной службы для отключения локальной проверки подлинности Отключите локальные методы проверки подлинности, чтобы учетные записи пакетной службы требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/batch/auth. Modify, Disabled 1.0.0
Настройка отключения доступа из общедоступной сети для учетных записей пакетной службы Отключение доступа к учетной записи пакетной службы через общедоступную сеть повышает безопасность, гарантируя, что доступ к этой учетной записи будет возможен только из частной конечной точки. Дополнительные сведения об отключении доступа из общедоступной сети см. здесь: https://docs.microsoft.com/azure/batch/private-connectivity. Modify, Disabled 1.0.0
Настройка учетных записей пакетной службы с частными конечными точками Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки с учетными записями пакетной службы, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Развертывание — настройка частных зон DNS для частных конечных точек с подключением к учетным записям пакетной службы Записи частной зоны DNS позволяют устанавливать частные подключения к частным конечным точкам. Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей пакетной службы в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках и зонах DNS в пакетной службе: https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
В учетных записях пакетной службы должны быть настроены правила генерации оповещений по метрикам Аудит настройки правил оповещений по метрикам в учетной записи пакетной службы для активации нужной метрики AuditIfNotExists, Disabled 1.0.0
Подключения частной конечной точки для учетных записей пакетной службы должны быть включены Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей пакетной службы в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках в пакетной службе: https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Disabled 1.0.0
Для учетных записей пакетной службы должен быть отключен доступ через общедоступную сеть Отключение доступа к учетной записи пакетной службы через общедоступную сеть повышает безопасность, гарантируя, что доступ к этой учетной записи будет возможен только из частной конечной точки. Дополнительные сведения об отключении доступа из общедоступной сети см. здесь: https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Deny, Disabled 1.0.0
В учетных записях пакетной службы должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0

Служба Bot

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Конечная точка Службы Bot должна быть допустимым URI HTTPS Данные могут быть изменены во время передачи. Существуют протоколы, которые обеспечивают шифрование для избежания проблем неправильного использования и незаконного изменения. Чтобы обеспечить взаимодействие ботов только по зашифрованным каналам, задайте в качестве конечной точки допустимый URI HTTPS. Это гарантирует, что протокол HTTPS используется для шифрования передаваемых данных, и часто является требованием для обеспечения соответствия нормативным или отраслевым стандартам. Перейдите по адресу https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Служба Bot должна шифроваться с помощью ключа, управляемого клиентом Служба Azure Bot автоматически шифрует ваш ресурс для обеспечения защиты данных и соблюдения требований к безопасности и соответствию в организации. По умолчанию используются ключи шифрования, управляемые корпорацией Майкрософт. Для большей гибкости управления ключами или управления доступом к подписке выберите ключи, управляемые клиентом, которые также называются собственными ключами (BYOK). Подробнее о шифровании в службе Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Необходимо включить изолированный режим для Службы Bot Для ботов нужно установить режим "только изолированный". Этот параметр используется для настройки каналов Службы Bot, требующих блокировать трафик, проходящий через общедоступную сеть Интернет. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
В Службе Bot должны быть отключены методы локальной проверки подлинности Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что для аутентификации Служба Bot использует исключительно AAD. Audit, Deny, Disabled 1.0.0
Для Службы Bot должен быть отключен доступ из общедоступной сети Для ботов нужно установить режим "только изолированный". Этот параметр используется для настройки каналов Службы Bot, требующих блокировать трафик, проходящий через общедоступную сеть Интернет. Audit, Deny, Disabled 1.0.0
Ресурсы BotService должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своим ресурсом BotService, вы можете снизить риски утечки данных. Audit, Disabled 1.0.0
Настройка использования частных зон DNS для ресурсов BotService Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью, чтобы разрешить связанные с BotService ресурсы. См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Настройка ресурсов BotService с помощью частных конечных точек Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своим ресурсом BotService, вы можете снизить риски утечки данных. DeployIfNotExists, Disabled 1.0.0

Cache

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Кэш Azure для Redis должен отключать доступ к общедоступным сетям Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Кэш Azure для Redis не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость Кэша Azure для Redis, создав вместо этого частные конечные точки. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Deny, Disabled 1.0.0
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Настройка Кэш Azure для Redis для отключения не SSL-портов Включите только подключения SSL к Кэш Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Modify, Disabled 1.0.0
Настройка отключения доступа из общедоступной сети для Кэша Azure для Redis Отключите доступ к общедоступной сети для своего ресурса Кэша Azure для Redis, чтобы он был недоступен через общедоступный Интернет. Это помогает защитить кэш от утечки данных. Modify, Disabled 1.0.0
Настройка Кэша Azure для Redis для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS может быть связана с вашей виртуальной сетью для разрешения на Кэш Azure для Redis. См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Настройка Кэша Azure для Redis с частными конечными точками Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки с ресурсами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/redis/privateendpoint. DeployIfNotExists, Disabled 1.0.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0

Сеть доставки содержимого

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В профилях Azure Front Door следует использовать уровень "Премиум", который поддерживает управляемые правила WAF и приватный канал Azure Front Door ценовой категории "Премиум" поддерживает правила WAF под управлением Azure и приватный канал для поддерживаемых источников Azure. Audit, Deny, Disabled 1.0.0
В Azure Front Door (цен. категория "Стандартный" и "Премиум") следует использовать версию TLS 1.2 в качестве минимальной Задав в качестве минимальной версию TLS 1.2, вы усилите защиту, сделав личные домены доступными только с клиентов, использующих TLS 1.2 или более новую версию. Использование версий TLS ранее 1.2 не рекомендуется, так как они слабы и не поддерживают современные алгоритмы шифрования. Audit, Deny, Disabled 1.0.0
Безопасное частное подключение между Azure Front Door ценовой категории "Премиум" и Azure Storage Blob или Службой приложений Azure Приватный канал обеспечивает частное подключение между AFD (цен. категория "Премиум") и Azure Storage Blob или Службой приложений Azure через магистральную сеть Azure, причем к Azure Storage Blob или Службе приложений Azure не предоставляется открытый доступ в Интернете. Audit, Disabled 1.0.0

ChangeTrackingAndInventory

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]: настройка компьютеров с поддержкой Linux Arc для связи с правилом сбора данных для ChangeTracking и инвентаризации Развертывание ассоциации для связывания компьютеров с поддержкой Linux Arc с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: настройка компьютеров с поддержкой Linux Arc для установки AMA для ChangeTracking и инвентаризации Автоматизация развертывания расширения агента Azure Monitor на компьютерах с поддержкой Linux Arc для включения ChangeTracking и инвентаризации. Эта политика установит расширение, если регион поддерживается. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0-preview
[Предварительная версия]: настройка Виртуальные машины Linux для связи с правилом сбора данных для ChangeTracking и инвентаризации Разверните связь, чтобы связать виртуальные машины Linux с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка виртуальных машин Linux для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначенным пользователем Автоматизация развертывания расширения агента Azure Monitor на виртуальных машинах Linux для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.4.0-preview
[Предварительная версия]: настройка VMSS Linux для связи с правилом сбора данных для ChangeTracking и инвентаризации Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Linux с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка VMSS Linux для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначаемого пользователем Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Linux для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0-preview
[Предварительная версия]: настройка компьютеров с поддержкой Windows Arc для связи с правилом сбора данных для ChangeTracking и инвентаризации Развертывание ассоциации для связывания компьютеров с поддержкой Windows Arc с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: настройка компьютеров с поддержкой Windows Arc для установки AMA для ChangeTracking и инвентаризации Автоматизация развертывания расширения агента Azure Monitor на компьютерах с поддержкой Windows Arc для включения ChangeTracking и инвентаризации. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: настройка Windows Виртуальные машины для связи с правилом сбора данных для ChangeTracking и инвентаризации Разверните связь, чтобы связать виртуальные машины Windows с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка виртуальных машин Windows для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначаемого пользователем Автоматизация развертывания расширения агента Azure Monitor на виртуальных машинах Windows для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: настройка Windows VMSS для связи с правилом сбора данных для ChangeTracking и инвентаризации Развертывание ассоциации для связывания масштабируемых наборов виртуальных машин Windows с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: настройка Windows VMSS для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначаемого пользователем Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Windows для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)

Службы Cognitive Services

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи Cognitive Services должны отключать доступ к общедоступным сетям Чтобы повысить безопасность учетных записей Cognitive Services, убедитесь, что он не предоставляется общедоступному Интернету и может быть доступ только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://go.microsoft.com/fwlink/?linkid=2129800. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Audit, Deny, Disabled 3.0.1
Учетные записи Cognitive Services должны поддерживать шифрование данных с использованием ключа, управляемого клиентом Для соблюдения стандартов соответствия нормативным требованиям обычно требуется использовать ключи, управляемые клиентом. Они позволяют шифровать данные, хранящиеся в Cognitive Services, с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения о ключах, управляемых клиентом, см. здесь: https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, Disabled 2.1.0
Учетные записи Cognitive Services должны использовать управляемое удостоверение Назначение управляемого удостоверения учетной записи Cognitive Services позволяет выполнять защищенную аутентификацию. Такое удостоверение используется учетной записью Cognitive Services для безопасного обмена данными с другими службами Azure (например, Azure Key Vault), при этом вам не нужно управлять учетными данными. Audit, Deny, Disabled 1.0.0
Учетные записи Cognitive Services должны использовать хранилище, принадлежащее клиенту Контролируйте неактивные данные, хранящиеся в Cognitive Services, с помощью хранилища, принадлежащего клиенту. Дополнительные сведения о хранилище, принадлежащем клиенту, см. по адресу https://aka.ms/cogsvc-cmk. Audit, Deny, Disabled 2.0.0
Cognitive Services должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Настройка учетных записей Cognitive Services для отключения методов локальной проверки подлинности Отключите методы локальной проверки подлинности, чтобы учетные записи Cognitive Services требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/cs/auth. Modify, Disabled 1.0.0
Настройка отключения доступа к общедоступной сети для учетных записей Cognitive Services Отключите доступ к общедоступной сети для своего ресурса Cognitive Services, чтобы он был недоступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2129800. Disabled, Modify 3.0.0
Настройка учетных записей Cognitive Services для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в учетные записи Cognitive Services. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Disabled 1.0.0
Настройка учетных записей Cognitive Services с частными конечными точками Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Disabled 3.0.0

Службы вычислений

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разрешенные номера SKU размеров виртуальных машин Эта политика позволяет задать набор номеров SKU размеров виртуальных машин, которые может развертывать ваша организация. Запрет 1.0.1
Аудит виртуальных машин без аварийного восстановления Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Аудит виртуальных машин, которые не используют управляемые диски Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. audit 1.0.0
Настройка аварийного восстановления на виртуальных машинах путем включения репликации с помощью Azure Site Recovery Виртуальные машины без конфигураций аварийного восстановления уязвимы к сбоям и другим прерываниям работы. Если на виртуальной машине еще не настроено аварийное восстановление, оно будет инициировано путем включения репликации с использованием заданных конфигураций для обеспечения непрерывности бизнес-процессов. При необходимости можно включить или исключить виртуальные машины, содержащие указанный тег, для управления областью назначения. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. DeployIfNotExists, Disabled 2.1.0
Настройка использования частных зон DNS для ресурсов доступа к диску Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в управляемый диск. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Настройте ресурсы доступа к диску с помощью частных конечных точек Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с ресурсами доступа к диску, вы можете добиться снижения риска утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Настройте управляемые диски для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для управляемого дискового ресурса, чтобы он не был доступен через общедоступную сеть Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. Modify, Disabled 2.0.0
Развертывание расширения IaaSAntimalware (Майкрософт) по умолчанию для Windows Server Эта политика развертывает расширение IaaSAntimalware (Майкрософт) с конфигурацией по умолчанию, если для виртуальной машины не настроено расширение защиты от вредоносных программ. deployIfNotExists 1.1.0
Ресурсы для доступа к диску должны использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
Управляемые диски должны отключать доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, тем самым обеспечивая, что управляемый диск не будет отображаться в общедоступной сети Интернет. Создание частных конечных точек может ограничить доступ к управляемым дискам. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. Audit, Disabled 2.0.0
Управляемые диски должны использовать конкретные наборы шифрования для ключей под управлением клиента Требование использовать конкретные наборы шифрования для управляемых дисков позволяет вам контролировать ключи для шифрования неактивных данных. Вы можете выбрать разрешенные наборы шифрования, а все прочие при подключении к диску будут отклоняться. Узнайте больше по адресу https://aka.ms/disks-cmk. Audit, Deny, Disabled 2.0.0
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). AuditIfNotExists, Disabled 1.1.0
Должны быть установлены только утвержденные расширения виртуальных машин Эта политика управляет неутвержденными расширениями виртуальных машин. Audit, Deny, Disabled 1.0.0
Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента Использование ключей, управляемых клиентом, для управления шифрованием неактивного управляемых дисков. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
Защита данных с помощью требований к проверке подлинности при экспорте или отправке на диск или моментальный снимок. При использовании URL-адреса экспорта и отправки система проверка, если у пользователя есть удостоверение в Azure Active Directory и есть необходимые разрешения для экспорта и отправки данных. Обратитесь к aka.ms/DisksAzureADAuth. Modify, Disabled 1.0.0
Требовать автоматическое исправление образов ОС в масштабируемых наборах виртуальных машин Эта политика обеспечивает принудительное автоматическое применение исправлений к образам ОС в масштабируемых наборах виртуальных машин. Это позволяет поддерживать защиту виртуальных машин за счет ежемесячного применения последних обновлений для системы безопасности. запретить 1.0.0
Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. Audit, Deny, Disabled 1.0.0

Контейнеры приложений

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Должна быть включена проверка подлинности для Контейнеров приложений Проверка подлинности Контейнеров приложений — это функция, позволяющая блокировать доступ к Контейнеру приложения для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токеном до того, как они достигнут Контейнера приложения AuditIfNotExists, Disabled 1.0.1
В средах Контейнеров приложений следует использовать внедрение сети Среды Контейнеров приложений должны использовать внедрение виртуальной сети для достижения следующих целей: 1) изолировать Контейнеры приложений от общедоступного Интернета; 2) обеспечить интеграцию сети с ресурсами в локальной среде и с другими виртуальными сетями Azure; 3) добиться более точного управления входящим и исходящим сетевым трафиком среды. Audit, Disabled, Deny 1.0.2
Контейнер приложения должен быть настроен с подключением тома Включите принудительное использование подключений томов для Контейнеров приложений, чтобы обеспечить доступность постоянной емкости хранилища. Audit, Deny, Disabled 1.0.1
В среде Контейнеров приложений должен быть отключен доступ к общедоступной сети Отключите доступ к общедоступной сети для повышения безопасности, открыв среду Контейнеров приложений во внутренней подсистеме балансировки нагрузки. Это действие позволяет избежать использования общедоступного IP-адреса и запретить интернет-доступ ко всем Контейнерам приложений в среде. Audit, Deny, Disabled 1.0.1
Для Контейнеров приложений должен быть отключен доступ из внешних сетей Отключите доступ из внешних сетей к Контейнерам приложений, принудительно разрешив только внутренний входящий трафик. Это гарантирует, что входящая связь для Контейнеров приложений будет доступна только вызывающим абонентам, находящимся в среде Контейнеров приложений. Audit, Deny, Disabled 1.0.1
Контейнеры приложений должны быть доступны только по HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Отключение параметра "allowInsecure" приведет к автоматическому перенаправлению запросов с HTTP-подключений на HTTPS-подключения для Контейнеров приложений. Audit, Deny, Disabled 1.0.1
Для Контейнеров приложений должно быть включено управляемое удостоверение Принудительное применение управляемого удостоверения гарантирует, что Контейнеры приложений смогут безопасно выполнять проверку подлинности на любом ресурсе, который поддерживает проверку подлинности Azure AD Audit, Deny, Disabled 1.0.1

Экземпляр контейнера

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Группа контейнеров экземпляров контейнеров Azure должна быть развернута в виртуальной сети Обеспечение безопасного обмена данными между контейнерами и виртуальными сетями Azure. При указании виртуальной сети ресурсы в виртуальной сети могут безопасно и частным образом обмениваться данными. Audit, Disabled, Deny 2.0.0
Группа контейнеров экземпляров контейнеров Azure должна использовать для шифрования ключ, управляемый клиентом Защита контейнеров благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Disabled, Deny 1.0.0
Настройка параметров диагностики для групп контейнеров в рабочей области Log Analytics Развертывает параметры диагностики для экземпляра контейнера для потоковой передачи журналов ресурсов в рабочую область Log Analytics, когда любой экземпляр контейнера, который отсутствует в этом параметре диагностики, создается или обновляется. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0

Экземпляры контейнеров

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка диагностика для группы контейнеров в рабочей области Log Analytics Добавляет указанный объект log analytics workspaceId и workspaceKey, когда любая группа контейнеров, которая отсутствует в этих полях, создается или обновляется. Не изменяет поля групп контейнеров, созданных до применения этой политики, пока эти группы ресурсов не будут изменены. Добавление, отключение 1.0.0

Реестр контейнеров

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройте реестры контейнеров, чтобы отключить анонимную проверку подлинности. Отключите анонимное извлечение для реестра, чтобы данные не были доступны пользователям, не прошедшим проверку подлинности. Отключение локальных методов проверки подлинности, таких как администратор, маркеры доступа с областью действия репозитория и анонимное извлечение, повышает безопасность за счет того, что регистрам контейнеров для проверки подлинности требуются только удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/acr/authentication. Modify, Disabled 1.0.0
Настройка реестров контейнеров для отключения проверки подлинности токена аудитории ARM. Отключите маркеры аудитории Azure Active Directory ARM для проверки подлинности в реестре. Для проверки подлинности будут использоваться только маркеры аудитории Реестра контейнеров Azure (ACR). Это гарантирует, что для проверки подлинности можно использовать только маркеры, предназначенные для использования в реестре. Отключение маркеров аудитории ARM не влияет на проверку подлинности пользователей или маркеров доступа с заданной областью. См. дополнительные сведения: https://aka.ms/acr/authentication. Modify, Disabled 1.0.0
Настройте реестры контейнеров, чтобы отключить локальную учетную запись администратора. Отключите учетную запись администратора для реестра, чтобы реестр был недоступен для локального администратора. Отключение методов локальной проверки подлинности (например, администратор, маркеры доступа с областью действия репозитория, анонимное извлечение) позволяет повысить уровень безопасности за счет того, что для проверки подлинности в реестрах контейнеров необходимы только удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/acr/authentication. Modify, Disabled 1.0.1
Настройка реестров контейнеров для отключения доступа через общедоступную сеть Отключите доступ к общедоступной сети для своего ресурса Реестра контейнеров, чтобы он был недоступным через Интернет. Это позволяет снизить риски утечки данных. Дополнительные сведения см. здесь: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/private-link. Modify, Disabled 1.0.0
Настройте реестры контейнеров, чтобы отключить маркер доступа с областью действия репозитория. Отключите для реестра маркеры доступа с областью действия репозитория, чтобы закрыть доступ к этим репозиториям с помощью маркеров. Отключение локальных методов проверки подлинности, таких как администратор, маркеры доступа с областью действия репозитория и анонимное извлечение, повышает безопасность за счет того, что регистрам контейнеров для проверки подлинности требуются только удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/acr/authentication. Modify, Disabled 1.0.0
Настройка реестров контейнеров для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в Реестр контейнеров. Дополнительные сведения см. здесь: https://aka.ms/privatednszone и https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.1
Настройка реестров контейнеров с использованием частных конечных точек Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставление частных конечных точек с ресурсами реестра контейнеров уровня "Премиум" позволяет снизить риски утечки данных. Дополнительные сведения см. здесь: https://aka.ms/privateendpoints и https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.0
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Для реестров контейнеров должна быть отключена анонимная проверка подлинности. Отключите анонимное извлечение для реестра, чтобы данные не были доступны пользователям, не прошедшим проверку подлинности. Отключение локальных методов проверки подлинности, таких как администратор, маркеры доступа с областью действия репозитория и анонимное извлечение, повышает безопасность за счет того, что регистрам контейнеров для проверки подлинности требуются только удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
В реестрах контейнеров должна быть отключена проверка подлинности токена аудитории ARM. Отключите маркеры аудитории Azure Active Directory ARM для проверки подлинности в реестре. Для проверки подлинности будут использоваться только маркеры аудитории Реестра контейнеров Azure (ACR). Это гарантирует, что для проверки подлинности можно использовать только маркеры, предназначенные для использования в реестре. Отключение маркеров аудитории ARM не влияет на проверку подлинности пользователей или маркеров доступа с заданной областью. См. дополнительные сведения: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
В реестрах контейнеров должны быть отключены операции экспорта Отключение операций экспорта повышает безопасность, обеспечивая доступ к данным в реестре исключительно через плоскость данных (docker pull). Данные не могут быть перемещены из реестра с помощью команды acr import или acr transfer. Чтобы отключить операции экспорта, необходимо запретить доступ через общедоступную сеть. См. дополнительные сведения: https://aka.ms/acr/export-policy. Audit, Deny, Disabled 1.0.0
В реестрах контейнеров должна быть отключена локальная учетная запись администратора. Отключите учетную запись администратора для реестра, чтобы реестр был недоступен для локального администратора. Отключение методов локальной проверки подлинности (например, администратор, маркеры доступа с областью действия репозитория, анонимное извлечение) позволяет повысить уровень безопасности за счет того, что для проверки подлинности в реестрах контейнеров необходимы только удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.1
У реестров контейнеров должен быть отключен маркер доступа с областью действия репозитория. Отключите для реестра маркеры доступа с областью действия репозитория, чтобы закрыть доступ к этим репозиториям с помощью маркеров. Отключение локальных методов проверки подлинности, таких как администратор, маркеры доступа с областью действия репозитория и анонимное извлечение, повышает безопасность за счет того, что регистрам контейнеров для проверки подлинности требуются только удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Реестры контейнеров должны иметь номера SKU, поддерживающие Приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с реестрами контейнеров вместо всей службы, вы снизите риски утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Реестры контейнеров должны предотвратить создание правила кэша Отключите создание правила кэша для Реестр контейнеров Azure, чтобы предотвратить извлечение кэша. См. дополнительные сведения: https://aka.ms/acr/cache. Audit, Deny, Disabled 1.0.0
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Для реестров контейнеров должен быть отключен доступ через общедоступную сеть Отключение доступа к общедоступной сети усиливает защиту, гарантируя, что реестры контейнеров не будут представлены в общедоступном Интернете. Создание частных конечных точек может снизить риски раскрытия ресурсов реестра контейнеров. Дополнительные сведения см. здесь: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0

Cosmos DB

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. Audit, Deny, Disabled 2.0.0
Учетные записи Azure Cosmos DB не должны превышать максимальное количество дней, разрешенных после последнего восстановления ключа учетной записи. Повторно создайте ключи за указанное время, чтобы обеспечить защиту данных. Audit, Disabled 1.0.0
Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Разрешенные расположения Azure Cosmos DB Эта политика позволяет ограничить расположения, которые ваша организация может указать при развертывании ресурсов Azure Cosmos DB. Используется для соблюдения географических требований. [parameters('policyEffect')] 1.1.0
Доступ для записи метаданных на основе ключей Azure Cosmos DB должен быть отключен Эта политика обеспечивает отключение доступа на запись метаданных на основе ключей для всех учетных записей Azure Cosmos DB. append 1.0.0
Служба Azure Cosmos DB должна отключать доступ к общедоступным сетям Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ваша учетная запись Cosmos DB не будет представлен в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных учетной записи Cosmos DB. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Deny, Disabled 1.0.0
Пропускная способность Azure Cosmos DB должна быть ограничена Эта политика позволяет ограничить максимальную пропускную способность, которую может указать организация при создании баз данных и контейнеров Azure Cosmos DB с помощью поставщика ресурсов. Она блокирует создание автомасштабируемых ресурсов. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Настройка учетных записей базы данных Cosmos DB для отключения локальной проверки подлинности Отключите локальные способы проверки подлинности, чтобы учетные записи базы данных Cosmos DB требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modify, Disabled 1.1.0
Настройка учетных записей CosmosDB для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для своего ресурса Cosmos DB, чтобы он был недоступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modify, Disabled 1.0.1
Настройка учетных записей Cosmos DB для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в учетную запись Cosmos DB. См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 2.0.0
Настройка учетных записей Cosmos DB с частными конечными точками Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своей учетной записью Cosmos DB, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Для учетных записей базы данных Cosmos DB локальные способы проверки подлинности должны быть отключены Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что учетные записи базы данных Cosmos DB требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Deny, Disabled 1.1.0
Учетные записи Cosmos DB должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Развертывание Расширенной защиты от угроз для учетных записей Cosmos DB Эта политика включает Расширенную защиту от угроз для учетных записей Cosmos DB. DeployIfNotExists, Disabled 1.0.0

Настраиваемый поставщик

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Развертывание связей для настраиваемого поставщика Развертывает ресурс для связывания выбранных типов ресурсов с указанным настраиваемым поставщиком. Эта политика не поддерживает вложенные типы ресурсов. deployIfNotExists 1.0.0

Data Box

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. Audit, Deny, Disabled 1.0.0
В заданиях Azure Data Box для шифрования пароля разблокировки устройства должен использоваться ключ, управляемый клиентом Для управления шифрованием пароля разблокировки устройства для Azure Data Box следует использовать ключ, управляемый клиентом. Ключи, управляемые клиентом, также позволяют управлять доступом службы Data Box к паролю разблокировки устройства, чтобы подготовить устройство и автоматически копировать данные. Данные на самом устройстве шифруются при хранении с помощью 256-разрядного шифрования AES, а пароль разблокировки устройства шифруется по умолчанию с помощью ключа, управляемого Майкрософт. Audit, Deny, Disabled 1.0.0

Фабрика данных

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[предварительная версия]: конвейеры Фабрика данных Azure должны взаимодействовать только с разрешенными доменами Чтобы предотвратить кражу данных и маркеров, задайте домены, с которыми Фабрика данных Azure должны быть разрешены обмен данными. Примечание. Хотя в общедоступной предварительной версии, соответствие этой политике не сообщается, и для применения политики к фабрике данных включите функции правил исходящего трафика в студии ADF. Дополнительные сведения см. на странице https://aka.ms/data-exfiltration-policy. Deny, Disabled 1.0.0 (предварительная версия)
Фабрики данных Azure необходимо шифровать с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в Фабрике данных Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
В среде выполнения интеграции Фабрики данных Azure должно быть ограниченное число ядер Для управления ресурсами и затратами ограничьте число ядер, используемых в среде выполнения интеграции. Audit, Deny, Disabled 1.0.0
Тип ресурса связанной службы Фабрики данных Azure должен находиться в списке разрешений Определите список разрешений для типов связанных служб Фабрики данных Azure. Ограничение разрешенных типов ресурсов позволяет управлять границами перемещения данных. Например, вы можете ограничить область, в которой будет разрешаться только Хранилище BLOB-объектов с Data Lake Storage 1-го и 2-го поколения для аналитики, или область, в которой будет разрешаться только доступ к SQL и Kusto для запросов в режиме реального времени. Audit, Deny, Disabled 1.1.0
Связанные службы Фабрики данных Azure должны использовать для хранения секретов Key Vault Для обеспечения безопасности управления секретами (например, строками подключения) необходимо, чтобы пользователи предоставляли секреты с помощью Azure Key Vault, а не указывали их в строках связанных служб. Audit, Deny, Disabled 1.0.0
Связанные службы Фабрики данных Azure должны выполнять аутентификацию управляемого удостоверения, назначаемого системой, если такая возможность поддерживается Использование управляемого удостоверения, назначаемого системой, при взаимодействии с хранилищами данных через связанные службы позволяет избежать использования менее защищенных учетных данных, таких как пароли или строки подключения. Audit, Deny, Disabled 2.1.0
Фабрика данных Azure должна использовать для управления исходным кодом репозиторий Git Настройте интеграцию Git только для своей фабрики данных для разработки. Изменения в тестовой и рабочей среде должны быть развернуты с помощью CI/CD и не должны иметь интеграцию Git. Не применяйте эту политику к фабрикам данных QA/ Test/ Production. Audit, Deny, Disabled 1.0.1
Фабрика данных Azure должна использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Настройте фабрики данных для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для своей Фабрики данных, чтобы она не была доступна через общедоступную сеть Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modify, Disabled 1.0.0
Настройка частных зон DNS для частных конечных точек, подключаемых к Фабрике данных Azure Записи частной зоны DNS позволяют устанавливать частные подключения к частным конечным точкам. Частные подключения к конечным точкам предоставляют безопасную связь, обеспечивая частное подключение к вашей Фабрике данных Azure без необходимости использования общедоступных IP-адресов в источнике или месте назначения. Дополнительные сведения о частных конечных точках и зонах DNS в фабрике данных Azure см. в разделе https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.0.0
Настройка частных конечных точек для фабрик данных Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Путем сопоставления конечных точек с Фабрикой данных Azure можно добиться снижения риска утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.1.0
Доступ к Фабрике данных Azure через общедоступную сеть должен быть отключен Отключение доступа к Фабрике данных Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Фабрике данных Azure будет возможен только из частной конечной точки. Audit, Deny, Disabled 1.0.0
Среды выполнения интеграции SQL Server Integration Services в Фабрике данных Azure должны быть присоединены к виртуальной сети Развертывание виртуальной сети Azure обеспечивает более высокий уровень безопасности и изоляции для сред выполнения интеграции SQL Server Integration Services в Фабрике данных Azure, а также поддержку подсетей, политик управления доступом и других функций для его контроля. Audit, Deny, Disabled 2.3.0

Data Lake

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Требовать шифрование учетных записей Data Lake Store Эта политика активирует шифрование во всех учетных записях Data Lake Storage запретить 1.0.0
В Azure Data Lake Storage должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Data Lake Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0

Виртуализация рабочего стола

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Узел виртуального рабочего стола Azure должен отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность и обеспечивает безопасность данных, гарантируя, что доступ к службе виртуального рабочего стола Azure не предоставляется в общедоступном Интернете. См. дополнительные сведения: https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Узел виртуального рабочего стола Azure должен отключить доступ к общедоступной сети только на узлах сеансов Отключение доступа к общедоступной сети для узлов узла виртуального рабочего стола Azure, но разрешение общедоступного доступа для конечных пользователей повышает безопасность путем ограничения воздействия на общедоступный Интернет. См. дополнительные сведения: https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Служба виртуального рабочего стола Azure должна использовать приватный канал Использование Приватный канал Azure с ресурсами Виртуального рабочего стола Azure может повысить безопасность и обеспечить безопасность данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/avdprivatelink. Audit, Disabled 1.0.0
Рабочие области Виртуального рабочего стола Azure должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети для ресурса рабочей области Виртуального рабочего стола Azure предотвращает доступ веб-канала через общедоступный Интернет. Разрешение доступа только к частной сети повышает безопасность и обеспечивает безопасность данных. См. дополнительные сведения: https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Настройка ресурсов hostpool виртуального рабочего стола Azure для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения ресурсов Виртуального рабочего стола Azure. См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Настройка узлов виртуального рабочего стола Azure для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для узлов сеансов и конечных пользователей в ресурсе hostpool виртуального рабочего стола Azure, чтобы он не был доступен через общедоступный Интернет. Это повышает безопасность и обеспечивает безопасность данных. См. дополнительные сведения: https://aka.ms/avdprivatelink. Modify, Disabled 1.0.0
Настройка узлов виртуального рабочего стола Azure для отключения доступа к общедоступной сети только для узлов сеансов Отключите доступ к общедоступной сети для узлов узла виртуального рабочего стола Azure, но разрешить общедоступный доступ для конечных пользователей. Это позволяет пользователям по-прежнему получать доступ к службе AVD, гарантируя, что узел сеанса доступен только через частные маршруты. См. дополнительные сведения: https://aka.ms/avdprivatelink. Modify, Disabled 1.0.0
Настройка узлов виртуального рабочего стола Azure с помощью частных конечных точек Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки с ресурсами Виртуального рабочего стола Azure, вы можете повысить безопасность и обеспечить безопасность данных. См. дополнительные сведения: https://aka.ms/avdprivatelink. DeployIfNotExists, Disabled 1.0.0
Настройка ресурсов рабочей области Виртуального рабочего стола Azure для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения ресурсов Виртуального рабочего стола Azure. См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Настройка рабочих областей Виртуального рабочего стола Azure для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для ресурса рабочей области Виртуального рабочего стола Azure, чтобы веб-канал не был доступен через общедоступный Интернет. Это повышает безопасность и обеспечивает безопасность данных. См. дополнительные сведения: https://aka.ms/avdprivatelink. Modify, Disabled 1.0.0
Настройка рабочих областей Виртуального рабочего стола Azure с частными конечными точками Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки с ресурсами Виртуального рабочего стола Azure, вы можете повысить безопасность и обеспечить безопасность данных. См. дополнительные сведения: https://aka.ms/avdprivatelink. DeployIfNotExists, Disabled 1.0.0

DevCenter

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]: пулы Microsoft Dev Box не должны использовать размещенные сети Майкрософт. Запрещает использование размещенных сетей Майкрософт при создании ресурсов пула. Audit, Deny, Disabled 1.0.0 (предварительная версия)

ElasticSan

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
ElasticSan должен отключить доступ к общедоступной сети Отключите доступ к общедоступной сети для ElasticSan, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. Audit, Deny, Disabled 1.0.0
Группа томов ElasticSan должна использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных VolumeGroup. По умолчанию данные клиента шифруются с помощью ключей, управляемых платформой, но пакеты УПРАВЛЕНИЯ обычно требуются для соответствия нормативным стандартам. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, созданного вами и принадлежащего вам, с полным контролем над ключом, включая смену ключа и управление им. Audit, Disabled 1.0.0
Группа томов ElasticSan должна использовать частные конечные точки Частные конечные точки позволяют администраторам подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Сопоставляя частные конечные точки с группой томов, администратор может снизить риски утечки данных. Audit, Disabled 1.0.0

Сетка событий

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Домены Сетки событий Azure должны отключать доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Для работы доменов Сетки событий Azure нужно отключить методы локальной проверки подлинности Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что домены Сетки событий Azure требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Домены Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Сетка событий Azure брокер MQTT должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с пространством имен Сетки событий вместо всей службы, вы также будете защищены от рисков утечки данных. См. дополнительные сведения: https://aka.ms/aeg-ns-privateendpoints. Audit, Disabled 1.0.0
брокер разделов пространства имен Сетка событий Azure должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с пространством имен Сетки событий вместо всей службы, вы также будете защищены от рисков утечки данных. См. дополнительные сведения: https://aka.ms/aeg-ns-privateendpoints. Audit, Disabled 1.0.0
Сетка событий Azure пространства имен должно отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/aeg-ns-privateendpoints. Audit, Deny, Disabled 1.0.0
Для работы пространств имен партнеров Сетки событий Azure нужно отключить методы локальной проверки подлинности Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что пространства имен партнеров Сетки событий Azure требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Разделы Сетки событий Azure должны отключать доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Для работы тем Сетки событий Azure нужно отключить методы локальной проверки подлинности Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что разделы Сетки событий Azure требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Разделы Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Настройка доменов Сетки событий Azure для отключения локальной проверки подлинности Отключите локальные способы проверки подлинности, чтобы домены Сетки событий Azure требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aeg-disablelocalauth. Modify, Disabled 1.0.0
Настройка брокера MQTT Сетка событий Azure пространства имен с частными конечными точками Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с ресурсами, можно защитить их от рисков утечки данных. См. дополнительные сведения: https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Disabled 1.0.0
Настройка пространств имен Сетка событий Azure с помощью частных конечных точек Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с ресурсами, можно защитить их от рисков утечки данных. См. дополнительные сведения: https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Disabled 1.0.0
Настройка пространств имен партнеров Сетки событий Azure для отключения локальной проверки подлинности Отключите локальные способы проверки подлинности, чтобы пространства имен партнеров Сетки событий Azure требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aeg-disablelocalauth. Modify, Disabled 1.0.0
Настройка тем Сетки событий Azure для отключения локальной проверки подлинности Отключите локальные способы проверки подлинности, чтобы разделы Сетки событий Azure требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aeg-disablelocalauth. Modify, Disabled 1.0.0
Развертывание — настройка доменов Сетки событий Azure для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. См. дополнительные сведения: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Развертывание — настройка доменов Сетки событий Azure с частными конечными точками Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с ресурсами, можно защитить их от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Развертывание — настройка разделов Сетки событий Azure для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. См. дополнительные сведения: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Развертывание — настройка разделов Сетки событий Azure с частными конечными точками Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с ресурсами, можно защитить их от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Изменение — настройка доменов Сетки событий Azure для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для ресурса Сетки событий Azure, чтобы он был недоступен через общедоступный Интернет. Это поможет защититься от рисков утечки данных. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/privateendpoints. Modify, Disabled 1.0.0
Изменение — настройка разделов Сетки событий Azure для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для ресурса Сетки событий Azure, чтобы он был недоступен через общедоступный Интернет. Это поможет защититься от рисков утечки данных. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/privateendpoints. Modify, Disabled 1.0.0

Центр событий

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Из пространства имен Центра событий должны быть удалены все правила авторизации за исключением RootManageSharedAccessKey Клиентам концентратора событий не следует использовать политику доступа на уровне пространства имен, которая предоставляет доступ ко всем очередям и разделам в пространстве имен. Для соответствия модели безопасности с наименьшими правами создавайте политики доступа к очередям и разделам на уровне сущности, чтобы предоставлять доступ только к конкретной сущности. Audit, Deny, Disabled 1.0.1
Необходимо определить правила авторизации в экземпляре концентратора событий Аудит наличия правил авторизации для предоставления доступа с наименьшими правами в сущностях концентратора событий AuditIfNotExists, Disabled 1.0.0
Для работы пространств имен Концентратора событий Azure нужно отключить методы локальной проверки подлинности Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что пространства имен Концентратора событий Azure требуют только удостоверения идентификаторов Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/disablelocalauth-eh. Audit, Deny, Disabled 1.0.1
Настройка пространств имен Концентратора событий Azure для отключения локальной проверки подлинности Отключите локальные методы проверки подлинности, чтобы пространства имен Концентратора событий Azure исключительно требовали идентификаторов Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/disablelocalauth-eh. Modify, Disabled 1.0.1
Настройка пространств имен концентратора событий для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в пространство имен концентратора событий. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Настройка пространств имен концентратора событий с частными конечными точками Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Пространства имен Концентратора событий должны отключить доступ к общедоступной сети Центр событий Azure должен отключать доступ к общедоступной сети. Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. Audit, Deny, Disabled 1.0.0
В пространствах имен концентратора событий должно быть включено двойное шифрование Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Audit, Deny, Disabled 1.0.0
Для шифрования пространства имен концентратора событий должны использовать ключ, управляемый клиентом Служба "Центры событий Azure" поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью ключей, управляемых клиентом, позволяет назначать, сменять, отключать ключи, которые концентратор событий будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Обратите внимание, что концентратор событий поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен в выделенных кластерах. Audit, Disabled 1.0.0
Пространства имен концентратора событий должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
В Центре событий должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0

Fluid Relay

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ресурс Fluid Relay должен использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных на сервере Fluid Relay. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом (CMK). Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, созданного вами и принадлежащего вам, с полным контролем над ключом, включая смену ключа и управление им. Узнайте больше по адресу https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. Audit, Disabled 1.0.0

Общие

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Допустимые расположения Эта политика позволяет ограничить расположения, которые ваша организация может указать при развертывании ресурсов. Используется для соблюдения географических требований. Исключает группы ресурсов, каталоги Microsoft.AzureActiveDirectory/b2cDirectories и ресурсы, в которых используется "глобальный" регион. запретить 1.0.0
Разрешенные расположения для групп ресурсов Эта политика позволяет ограничить расположения, которые ваша организация может указать при создании групп ресурсов. Используется для соблюдения географических требований. запретить 1.0.0
Допустимые типы ресурсов Эта политика позволяет указать типы ресурсов, которые не может развертывать ваша организация. Эта политика затрагивает только типы ресурсов, поддерживающие использование тегов и настройку расположения. Чтобы ограничить все ресурсы, продублируйте эту политику и измените значение режима на All (Все). запретить 1.0.0
Аудит соответствия расположения группы и ресурса Аудит, в ходе которого проверяется, соответствует ли расположение ресурса расположению его группы audit 2.0.0
Аудит использования пользовательских ролей RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.1
Настройка подписок для настройки предварительных версий функций Эта политика оценивает существующие функции предварительной версии подписки. Подписки можно исправить, чтобы зарегистрировать новую предварительную версию функции. Новые подписки не будут автоматически зарегистрированы. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.1
Не разрешать удаление типов ресурсов Эта политика позволяет указать типы ресурсов, которые ваша организация может защитить от случайного удаления, блокируя вызовы удаления с помощью эффекта запрета действия. DenyAction, Disabled 1.0.1
Не разрешать ресурсы M365 Блокировать создание ресурсов M365. Audit, Deny, Disabled 1.0.0
Не разрешать ресурсы MCPP Блокировать создание ресурсов MCPP. Audit, Deny, Disabled 1.0.0
Исключение ресурсов затрат на использование Эта политика позволяет использовать ресурсы затрат на использование. Затраты на использование включают такие вещи, как хранилище с учетом лимитного использования и ресурсы Azure, которые выставляются на основе использования. Audit, Deny, Disabled 1.0.0
Недопустимые типы ресурсов Ограничьте типы ресурсов, которые могут быть развернуты в вашей среде. Ограничение типов ресурсов позволяет снизить сложность и направления атаки среды, а также помогает управлять затратами. Результаты обеспечения соответствия отображаются только для несоответствующих ресурсов. Audit, Deny, Disabled 2.0.0

Гостевая конфигурация

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]: добавьте управляемое удостоверение, назначаемое пользователем, чтобы включить назначения гостевой конфигурации на виртуальных машинах Эта политика добавляет управляемое удостоверение, назначаемое системой, на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией. Наличие управляемого удостоверения, назначаемого пользователем, является необходимым условием для всех назначений гостевой конфигурации. Удостоверение должно быть добавлено на компьютеры перед использованием каких-либо определений политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Disabled 2.1.0-preview
[Предварительная версия]: настройте Windows Server для отключения локальных пользователей. Создает назначение гостевой конфигурации для настройки отключения локальных пользователей в Windows Server. Это гарантирует доступ только к серверам Windows с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. DeployIfNotExists, Disabled 1.2.0 (предварительная версия)
[Предварительная версия]: на компьютерах с Windows Server 2012 Arc должна быть установлена расширенная Обновления безопасности. Компьютеры Windows Server 2012 Arc должны установить все Обновления расширенной безопасности, выпущенные корпорацией Майкрософт. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: компьютеры под управлением Linux должны соответствовать требованиям базовой конфигурации безопасности Azure для узлов Docker Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютер настроен неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Azure для узлов Docker. AuditIfNotExists, Disabled 1.2.0 (предварительная версия)
[предварительная версия]: компьютеры Linux должны соответствовать требованиям stIG для вычислений Azure. Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер не настроен правильно для одной из рекомендаций в требованиях к соответствию STIG для вычислений Azure. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.2.0 (предварительная версия)
[Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию. Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. В связи с исправлением безопасности, включенным в версию 1.6.8-1 пакета OMI для Linux, все компьютеры должны быть обновлены до последней версии. Обновите приложения и пакеты, использующие OMI, для устранения проблемы. Дополнительные сведения см. в разделе https://aka.ms/omiguidance. AuditIfNotExists, Disabled 1.2.0 (предварительная версия)
[предварительная версия]: виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; Временные диски и кэши данных не шифруются, а данные не шифруются при потоке между вычислительными ресурсами и ресурсами хранилища. Используйте Шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Для этой политики необходимо развернуть два предварительных требования для назначения политики область. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0 (предварительная версия)
[предварительная версия]: Вычислительные машины Nexus должны соответствовать базовым требованиям безопасности Использует агент гостевой конфигурации Политика Azure для аудита. Эта политика гарантирует, что компьютеры соответствуют базовым параметрам безопасности вычислений Nexus, охватывая различные рекомендации, предназначенные для укрепления компьютеров в отношении ряда уязвимостей и небезопасных конфигураций (только Для Linux). AuditIfNotExists, Disabled 1.1.0 (предварительная версия)
[предварительная версия]: компьютеры Windows должны соответствовать требованиям соответствия STIG для вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в нормативных требованиях STIG для Вычислений Azure. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost. По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; Временные диски и кэши данных не шифруются, а данные не шифруются при потоке между вычислительными ресурсами и ресурсами хранилища. Используйте Шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Для этой политики необходимо развернуть два предварительных требования для назначения политики область. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.1.0 (предварительная версия)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Linux без заданных установленных приложений Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что не установлен один или несколько указанных в параметре пакетов. AuditIfNotExists, Disabled 4.2.0
Аудит компьютеров Linux с учетными записями без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Linux с заданными установленными приложениями Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что установлен один или несколько указанных в параметре пакетов. AuditIfNotExists, Disabled 4.2.0
Аудит компьютеров с Windows без любого из указанных участников в группе администраторов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. auditIfNotExists 2.0.0
Аудит компьютеров с Windows с сетевыми подключениями Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если сетевое подключение по некоторому IP-адресу и порту TCP не соответствует параметру политики. auditIfNotExists 2.0.0
Аудит компьютеров с Windows с несоответствующей конфигурацией DSC Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если команда Windows PowerShell Get-DSCConfigurationStatus возвращает сведения о том, что конфигурация DSC для компьютера не соответствует требованиям. auditIfNotExists 3.0.0
Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлен агент либо агент установлен, но COM-объект AgentConfigManager.MgmtSvcCfg сообщает, что этот агент зарегистрирован в рабочей области с идентификатором, отличным от указанного в параметре политики. auditIfNotExists 2.0.0
Аудит компьютеров с Windows без заданных установленных и запущенных служб Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если выполнение команды Windows PowerShell Get-Service возвращает результат без имени службы с соответствующим состоянием, которое указано в параметре политики. auditIfNotExists 3.0.0
Аудит компьютеров с Windows без включенной последовательной консоли Windows Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлено программное обеспечение последовательной консоли или номер и скорость порта EMS имеют не те значения, которые указаны в параметрах политики. auditIfNotExists 3.0.0
Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров с Windows без присоединения к указанному домену Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства Domain в классе WMI win32_computersystem не совпадает с тем, которое указано в параметре политики. auditIfNotExists 2.0.0
Аудит компьютеров Windows, на которых не задан указанный часовой пояс Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства StandardName в классе WMI Win32_TimeZone не совпадает с выбранным часовым поясом в параметре политики. auditIfNotExists 3.0.0
Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. auditIfNotExists 2.0.0
Аудит компьютеров Windows без указанных сертификатов в доверенном корневом центре сертификации Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если хранилище доверенных корневых сертификатов (CERT:\LocalMachine\Root) на них не содержит один или несколько сертификатов, указанных в параметре политики. auditIfNotExists 3.0.0
Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows без включенного параметра сложности пароля Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Windows, на которых отсутствует указанная политика выполнения Windows PowerShell Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если команда PowerShell Get-ExecutionPolicy Windows возвращает значение, отличное от выбранного в параметре политики. AuditIfNotExists, Disabled 3.0.0
Аудит компьютеров Windows, на которых не установлены указанные модули Windows PowerShell Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если модуль недоступен в расположении, указанном в переменной среды PSModulePath. AuditIfNotExists, Disabled 3.0.0
Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Windows без установленных указанных приложений Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если имя приложения не найдено ни по одному из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит участников, не указанных в параметре политики. auditIfNotExists 2.0.0
Аудит компьютеров Windows, которые не были перезапущены в течение указанного числа дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если свойство WMI LastBootUpTime в классе Win32_Operatingsystem выходит за пределы диапазона дней, указанного в параметре политики. auditIfNotExists 2.0.0
Аудит компьютеров Windows с установленными указанными приложениями Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если имя приложения найдено по одному из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Аудит компьютеров Windows с указанными участниками в группе администраторов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. auditIfNotExists 2.0.0
Аудит виртуальных машин Windows с отложенной перезагрузкой Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если находятся в состоянии ожидания перезагрузки по любой из следующих причин: обслуживание на основе компонентов, обновление Windows, ожидание переименования файлов, ожидание переименования компьютера, ожидание перезагрузки диспетчера конфигураций. Каждое обнаружение имеет уникальный путь реестра. auditIfNotExists 2.0.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Настройте Linux Server для отключения локальных пользователей. Создает назначение гостевой конфигурации для настройки отключения локальных пользователей на сервере Linux Server. Это обеспечивает доступ только к серверам Linux с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. DeployIfNotExists, Disabled 1.3.0-preview
Настройка протоколов безопасной связи (TLS 1.1 или TLS 1.2) на компьютерах Windows Создает назначение гостевой конфигурации для настройки указанной защищенной версии протокола (TLS 1.1 или TLS 1.2) на компьютере Windows. DeployIfNotExists, Disabled 1.0.1
Настройка часового пояса на компьютерах с Windows Эта политика создает назначение гостевой конфигурации для установки указанного часового пояса на виртуальных машинах с Windows. deployIfNotExists 2.1.0
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
На компьютерах с Linux должен быть установлен агент Log Analytics в службе Azure Arc Компьютеры не соответствуют требованиям, если на сервере Linux с поддержкой Azure Arc не установлен клиент Log Analytics. AuditIfNotExists, Disabled 1.1.0
Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 2.2.0
На компьютерах Linux должны быть разрешены только локальные учетные записи Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. При управлении удостоверениями рекомендуется использовать управление учетными записями пользователей с помощью Azure Active Directory. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. AuditIfNotExists, Disabled 2.2.0
Локальные методы проверки подлинности должны быть отключены на компьютерах Linux Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Linux нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Linux могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. AuditIfNotExists, Disabled 1.2.0 (предварительная версия)
Локальные методы проверки подлинности должны быть отключены на серверах Windows Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Windows нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Windows могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
Необходимо включить назначения частных конечных точек для гостевой конфигурации Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к гостевой конфигурации для виртуальных машин. Виртуальные машины будут соответствовать требованиям только при наличии тега "EnablePrivateNetworkGC". Этот тег обеспечивает безопасную связь через частное подключение к гостевой конфигурации для виртуальных машин. Частное подключение разрешает доступ к трафику, поступающему только из известных сетей, и запрещает доступ со всех других IP-адресов, включая адреса в Azure. Audit, Deny, Disabled 1.1.0
На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). AuditIfNotExists, Disabled 2.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1
На компьютерах Windows должен быть настроен Microsoft Defender для обновления сигнатур защиты в течение одного дня Чтобы обеспечить адекватную защиту от недавно выпущенных вредоносных программ, сигнатуры защиты Microsoft Defender необходимо регулярно обновлять, чтобы учитывать недавно выпущенные вредоносные программы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
На компьютерах Windows должна быть включена защита в реальном времени в Microsoft Defender На компьютерах Windows должна быть включена защита в реальном времени в Microsoft Defender, чтобы обеспечить адекватную защиту от недавно выпущенных вредоносных программ. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
На компьютерах с Windows должен быть установлен агент Log Analytics в службе Azure Arc Компьютеры не соответствуют требованиям, если на сервере Windows с поддержкой Azure Arc не установлен клиент Log Analytics. AuditIfNotExists, Disabled 2.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Панель управления" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — Панель управления" для персонализации ввода и предотвращения включения экранов блокировки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — MSS (устаревшие)" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — MSS (устаревшие)" для автоматического входа, заставки, поведения сети, безопасной библиотеки DLL и журнала событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Сеть" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Административные шаблоны — Сеть" для гостевых входов, одновременных подключений, сетевого моста, общего доступа к подключению Интернета и многоадресного разрешения имен. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Система" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — Система" для параметров, управляющих административными функциями и удаленным помощником. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — Учетные записи" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — учетные записи" для ограничения использования пустых паролей и состояния гостевой учетной записи в локальных учетных записях. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — аудит" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — аудит" для принудительного применения подкатегории политики аудита и завершения работы в случае, если не удается зарегистрировать аудиты безопасности. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Устройства" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Устройства" для выполнения отстыковки без входа в систему, установки драйверов печати, форматирования и извлечения носителей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Интерактивный вход" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Интерактивный вход" для отображения последнего имени пользователя и требования нажать клавиши CTRL+ALT+DEL. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Клиент для сетей Майкрософт" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Клиент для сетей Майкрософт" для клиента или сервера сети Майкрософт и протокола SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — сервер для сетей Майкрософт" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — сервер для сетей Майкрософт" для отключения сервера SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — консоль восстановления" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — консоль восстановления" для разрешения копирования дискет и доступа ко всем дискам и папкам. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Завершение работы" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Завершение работы", чтобы разрешить завершение работы без входа в систему и очистку файла подкачки виртуальной памяти. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Системные объекты" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Системные объекты", чтобы не учитывать регистр для подсистем, отличных от Windows, и разрешений внутренних системных объектов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Системные параметры" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Системные параметры" для правил сертификатов в исполняемых файлах для политики ограниченного использования программ и необязательных подсистем. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — контроль учетных записей" для режима администраторов, процедуры запроса на повышение прав, а также виртуализации сбоев при записи в файлы и реестр. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Политики учетных записей" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Политики учетных записей" для журнала паролей (срока действия, длины, сложности паролей), а также хранения паролей с использованием обратимого шифрования. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Вход учетной записи" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Вход учетной записи" для аудита проверки учетных данных и других событий входа с использованием учетной записи. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — управление учетными записями" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Политики аудита системы — управление учетными записями" для аудита приложений, безопасности, управления группами пользователей, а также других событий управления. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Политики аудита системы — подробное отслеживание" для аудита API защиты данных, создания и завершения процессов, событий RPC и PNP-действий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Вход-выход" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Вход-выход" для аудита IPsec, политики сети, утверждений, блокировки учетных записей, членства в группах и событий входа и выхода. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Доступ к объектам" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Доступ к объектам" для аудита файлов, реестра, SAM, хранилища, фильтрации, ядра и других системных типов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Изменение политики" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Изменение политики" для аудита изменений в политиках аудита системы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Использование привилегий" для аудита неконфиденциальных данных и другого использования привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Система" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Система" для аудита драйвера IPsec, целостности системы, расширения системы, изменения состояния и других системных событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Назначение прав пользователя", разрешающие локальный вход в систему, RDP, доступ из сети и многие другие действия пользователей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Компоненты Windows" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Компоненты Windows" для обычной проверки подлинности, незашифрованного трафика, учетных записей Майкрософт, телеметрии, Кортана и других вариантов поведения Windows. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Свойства брандмауэра Windows" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Свойства брандмауэра Windows" для состояния брандмауэра, подключений, управления правилами и уведомлений. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 2.0.0
На компьютерах Windows должны быть разрешены только локальные учетные записи Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Это определение не поддерживается в Windows Server 2012 или 2012 R2. При управлении удостоверениями рекомендуется использовать управление учетными записями пользователей с помощью Azure Active Directory. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. AuditIfNotExists, Disabled 2.0.0
На компьютерах Windows должен быть настроен Microsoft Defender для ежедневной плановой проверки компьютеров Чтобы обеспечить обнаружение вредоносных программ и свести к минимуму влияние на систему, рекомендуется, чтобы компьютеры Windows с Защитником Windows планировали ежедневное сканирование. Убедитесь, что Защитник Windows поддерживается, предварительно установлен на устройстве и развертываются предварительные требования гостевой конфигурации. Неспособность соответствовать этим требованиям может привести к неточным результатам оценки. Дополнительные сведения о гостевой конфигурации см. в https://aka.ms/gcpolразделе . AuditIfNotExists, Disabled 1.2.0
Компьютеры Windows должны использовать NTP-сервер по умолчанию Настройте time.windows.com в качестве NTP-сервера по умолчанию для всех компьютеров с Windows, чтобы обеспечить полную синхронизацию часов всех систем. Для этой политики требуется развернуть предварительные требования гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0

HDInsight

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Кластеры Azure HDInsight должны быть внедрены в виртуальную сеть Внедрение кластеров Azure HDInsight в виртуальную сеть открывает расширенные возможности обеспечения безопасности и сетевого взаимодействия HDInsight, а также позволяет вам управлять конфигурацией безопасности сети. Audit, Disabled, Deny 1.0.0
Кластеры Azure HDInsight должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в кластерах Azure HDInsight. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Кластеры Azure HDInsight должны использовать шифрование на узле для шифрования неактивных данных Включение шифрования на узле помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. Audit, Deny, Disabled 1.0.0
Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. Audit, Deny, Disabled 1.0.0
Служба Azure HDInsight должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с кластерами Azure HDInsight, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/hdi.pl. AuditIfNotExists, Disabled 1.0.0
Настройка кластеров Azure HDInsight для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в кластеры Azure HDInsight. См. дополнительные сведения: https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Azure HDInsight с частными конечными точками Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставив частные конечные точки с кластерами Azure HDInsight, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0

Health Bot

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Боты Azure Health Bot должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в ботах Health Bot. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/health-bot/cmk. Audit, Disabled 1.0.0

Рабочая область служб работоспособности

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Рабочая область служб azure Health Data Services должна использовать приватный канал Рабочая область служб работоспособности должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/healthcareapisprivatelink. Audit, Disabled 1.0.0

API-интерфейсы для здравоохранения

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Механизм CORS не должен разрешать всем доменам доступ к службе FHIR Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать всем доменам доступ к службе FHIR. Чтобы защитить службу FHIR, запретите доступ для всех доменов и явно укажите домены, которым разрешено подключаться. audit, Audit, disabled, Disabled 1.1.0
Служба DICOM должна использовать управляемый клиентом ключ для шифрования неактивных данных Используйте ключ, управляемый клиентом, для управления шифрованием неактивных данных, хранящихся в службе DICOM служб работоспособности Azure, если это нормативные требования или требования к соответствию. Кроме того, ключи, управляемые клиентом,обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). Audit, Disabled 1.0.0
Служба FHIR должна использовать управляемый клиентом ключ для шифрования неактивных данных Используйте ключ, управляемый клиентом, для управления шифрованием неактивных данных, хранящихся в службе FHIR служб данных Работоспособности Azure, если это нормативные требования или требования к соответствию. Кроме того, ключи, управляемые клиентом,обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). Audit, Disabled 1.0.0

Интернет вещей

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Центр Интернета вещей Azure должен использовать ключ, управляемый клиентом, для шифрования неактивных данных При шифровании неактивных данных в Центре Интернета вещей с помощью ключа, управляемого клиентом, добавляется второй уровень шифрования поверх используемых по умолчанию ключей, управляемых службой, а также возможности управления ключами клиентом, применения пользовательских политик смены и управления доступом к данным с помощью механизма управления доступом к ключам. Ключи, управляемые клиентом, должны быть настроены во время создания Центра Интернета вещей. Дополнительные сведения о настройке ключей, управляемых клиентом, см. по адресу https://aka.ms/iotcmk. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Данные Службы подготовки устройств к добавлению в Центр Интернета вещей должны быть зашифрованы ключами под управлением клиента Используйте ключи, управляемые клиентом, для шифрования неактивных данных в Службе подготовки устройств к добавлению в Центр Интернета вещей. Неактивные данные автоматически шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. См. дополнительные сведения о шифровании CMK: https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0 (предварительная версия)
Учетные записи обновления устройств Azure должны использовать управляемый клиентом ключ для шифрования неактивных данных Шифрование неактивных данных в обновлении устройств Azure с помощью ключа, управляемого клиентом, добавляет второй уровень шифрования на вершине ключей, управляемых службой по умолчанию, позволяет управлять ключами, настраиваемыми политиками поворота и управлять доступом к данным с помощью управления доступом к ключам. Дополнительные сведения см. в:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. Audit, Deny, Disabled 1.0.0
Для учетных записей Обновления устройств Azure для Центра Интернета вещей следует использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с учетными записями Обновления устройств Azure для Центра Интернета вещей снижает риск утечки данных. AuditIfNotExists, Disabled 1.0.0
Служба "Центр Интернета вещей" должна отключить локальные способы проверки подлинности для Api службы Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что служба "Центр Интернета вещей" потребует для проверки подлинности Api службы исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/iothubdisablelocalauth. Audit, Deny, Disabled 1.0.0
Настройка учетных записей Обновления устройств Azure для Центра Интернета вещей для отключения доступа к общедоступной сети Отключение свойства доступа к общедоступной сети повышает уровень безопасности, гарантируя, что доступ к Обновлению устройств для Центра Интернета вещей будет возможен только из частной конечной точки. Эта политика отключает доступ к общедоступным сетям в ресурсах Обновления устройств для Центра Интернета вещей. Modify, Disabled 1.0.0
Настройка учетных записей Обновления устройств Azure для Центра Интернета вещей для использования частных зон DNS Azure DNS предоставляет надежную и защищенную службу DNS для разрешения доменных имен в виртуальных сетях, позволяя обойтись без поддержки собственной системы DNS. Вы можете использовать частные зоны DNS, чтобы переопределить разрешение DNS с помощью собственных настраиваемых доменных имен для частной конечной точки. Эта политика позволяет развернуть Частную зону DNS для частных конечных точек Обновления устройств для Центра Интернета вещей. DeployIfNotExists, Disabled 1.0.0
Настройка учетных записей Обновления устройств Azure для Центра Интернета вещей с помощью частной конечной точки Частная конечная точка — это частный IP-адрес, выделенный внутри виртуальной сети клиента, с использованием которого ресурс Azure становится доступным. Эта политика позволяет развернуть частную конечную точку для Обновления устройств для Центра Интернета вещей, чтобы разрешить службам в виртуальной сети доступ к этому ресурсу без необходимости отправлять трафик в общедоступную конечную точку Обновления устройств для Центра Интернета вещей. DeployIfNotExists, Disabled 1.1.0
Настройка Центра Интернета вещей, чтобы отключить локальную проверку подлинности Отключите локальные способы проверки подлинности, чтобы служба "Центр Интернета вещей" требовала для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/iothubdisablelocalauth. Modify, Disabled 1.0.0
Настройка экземпляров Подготовки устройств к добавлению в Центр Интернета вещей для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с вашей виртуальной сетью для разрешения в экземпляр Службы подготовки устройств к добавлению в Центр Интернета вещей. См. дополнительные сведения: https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Настройка отключения доступа к общедоступной сети для экземпляров Службы подготовки устройств к добавлению в Центр Интернета вещей Отключите доступ к общедоступным сетям для ресурса Службы подготовки устройств к добавлению в Центр Интернета вещей, чтобы сделать его недоступным в общедоступном Интернете. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/iotdpsvnet. Modify, Disabled 1.0.0
Настройка экземпляров Службы подготовки устройств к добавлению в Центр Интернета вещей с частными конечными точками Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со Службой подготовки устройств к добавлению в Центр Интернета вещей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Развертывание — настройка Центров Интернета вещей Azure для использования частных зон DNS Azure DNS предоставляет надежную и защищенную службу DNS для разрешения доменных имен в виртуальных сетях, позволяя обойтись без поддержки собственной системы DNS. Вы можете использовать частные зоны DNS, чтобы переопределить разрешение DNS с помощью собственных настраиваемых доменных имен для частной конечной точки. Эта политика позволяет развернуть Частную зону DNS для частных конечных точек Центра Интернета вещей. deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Развертывание — настройка Центров Интернета вещей Azure с частными конечными точками Частная конечная точка — это частный IP-адрес, выделенный внутри виртуальной сети клиента, с использованием которого ресурс Azure становится доступным. Эта политика позволяет развернуть частную конечную точку для Центра Интернета вещей, чтобы разрешить службам в виртуальной сети доступ к Центру Интернета вещей без необходимости отправлять трафик в общедоступную конечную точку Центра Интернета вещей. DeployIfNotExists, Disabled 1.0.0
Развертывание  настройка IoT Central для использования частных зон DNS Azure DNS предоставляет надежную и защищенную службу DNS для разрешения доменных имен в виртуальных сетях, позволяя обойтись без поддержки собственной системы DNS. Вы можете использовать частные зоны DNS, чтобы переопределить разрешение DNS с помощью собственных настраиваемых доменных имен для частной конечной точки. Эта политика позволяет развернуть Частную зону DNS для частных конечных точек IoT Central. DeployIfNotExists, Disabled 1.0.0
Развертывание — настройка IoT Central с частными конечными точками Частная конечная точка — это частный IP-адрес, выделенный внутри виртуальной сети клиента, с использованием которого ресурс Azure становится доступным. Эта политика позволяет развернуть частную конечную точку для IoT Central, чтобы разрешить службам в виртуальной сети доступ к IoT Central без необходимости отправлять трафик в общедоступную конечную точку IoT Central. DeployIfNotExists, Disabled 1.0.0
Решение IoT Central должно использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с приложением IoT Central, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotcentral-network-security-using-pe. Audit, Deny, Disabled 1.0.0
Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны отключать доступ к общедоступной сети Отключение доступа к общедоступной сети повышает уровень безопасности, гарантируя, что экземпляр Службы подготовки устройств к добавлению в Центр Интернета вещей не будет доступен в общедоступном Интернете. Создание частных конечных точек может снизить уязвимость экземпляров Службы подготовки устройств к добавлению в Центр Интернета вещей. См. дополнительные сведения: https://aka.ms/iotdpsvnet. Audit, Deny, Disabled 1.0.0
Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Изменение — настройка Центров Интернета вещей Azure для отключения доступа к общедоступной сети Отключение свойства доступа к общедоступной сети повышает уровень безопасности, гарантируя, что доступ к Центру Интернета вещей Azure будет возможен только из частной конечной точки. Эта политика отключает доступ к общедоступным сетям в ресурсах Центра Интернета вещей. Modify, Disabled 1.0.0
Изменение — настройка IoT Central для отключения доступа из общедоступной сети Отключение свойства доступа к общедоступной сети повышает уровень безопасности, гарантируя, что доступ к IoT Central будет возможен только из частной конечной точки. Эта политика отключает доступ к общедоступным сетям в ресурсах Центра Интернета вещей. Modify, Disabled 1.0.0
Для Центра Интернета вещей необходимо включить частную конечную точку Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Центру Интернета вещей. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. Audit, Disabled 1.0.0
Доступ к общедоступной сети для учетных записей Обновления устройств Azure для Центра Интернета вещей должен быть отключен Отключение свойства доступа к общедоступной сети повышает уровень безопасности, гарантируя, что доступ к учетным записям Обновления устройств Azure для Центра Интернета вещей будет возможен только с помощью частной конечной точки. Audit, Deny, Disabled 1.0.0
Доступ к общедоступной сети для Центра Интернета вещей Azure должен быть отключен Отключение свойства доступа к общедоступной сети повышает уровень безопасности, гарантируя, что доступ к Центру Интернета вещей Azure будет возможен только из частной конечной точки. Audit, Deny, Disabled 1.0.0
Для IoT Central доступ через общедоступную сеть должен быть отключен Чтобы повысить уровень безопасности IoT Central, убедитесь, что это решение не доступно через Интернет и доступно только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/iotcentral-restrict-public-access. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Audit, Deny, Disabled 1.0.0
В Центре Интернета вещей должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 3.1.0

Key Vault

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[предварительная версия]: управляемые ключи HSM в Azure Key Vault должны иметь дату окончания срока действия Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]: управляемые ключи HSM в Azure Key Vault должны иметь больше указанного числа дней до истечения срока действия. Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. Audit, Deny, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]: управляемые ключи HSM в Azure Key Vault с помощью криптографии с многоточием должны иметь указанные имена кривых. Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. Audit, Deny, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]: управляемые ключи HSM в Azure Key Vault с помощью шифрования RSA должны иметь указанный минимальный размер ключа. Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. Audit, Deny, Disabled 1.0.1 (предварительная версия)
Предварительная версия. В модуле HSM, управляемом Azure Key Vault, должен быть отключен доступ по общедоступной сети Отключите доступ по общедоступной сети для своего модуля HSM, управляемого Azure Key Vault, чтобы к нему не было доступа по общедоступному Интернету. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Deny, Disabled 1.0.0 (предварительная версия)
Предварительная версия. В модуле HSM, управляемом Azure Key Vault, должен использоваться приватный канал Приватный канал позволяет подключать модуль HSM, управляемый Azure Key Vault, к ресурсам Azure без отправки трафика по общедоступному Интернету. Приватный канал обеспечивает защиту от кражи данных в рамках подхода Defense in Depth. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. Audit, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: сертификаты должны выдаваться одним из указанных не интегрированных центров сертификации Управление требованиями к соответствию организации путем указания пользовательских или внутренних центров сертификации, которые могут выдавать сертификаты в хранилище ключей. Audit, Deny, Disabled 1.0.0 (предварительная версия)
Предварительная версия. Настройка модуля HSM, управляемого Azure Key Vault, так, чтобы он запрещал доступ из общедоступных сетей Отключите доступ по общедоступной сети для своего модуля HSM, управляемого Azure Key Vault, чтобы к нему не было доступа по общедоступному Интернету. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Modify, Disabled 2.0.0-preview
Предварительная версия. Настройка модуля HSM, управляемого Azure Key Vault, с использованием частных конечных точек Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с модулем HSM, управляемым Azure Key Vault, можно снизить риск утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
Для Управляемого модуля HSM для Azure Key Vault необходимо включить защиту от очистки Удаление управляемого модуля HSM для Azure Key Vault злоумышленником может привести к необратимой потере данных. Потенциальный злоумышленник в вашей организации может удалить и очистить управляемый модуль HSM для Azure Key Vault. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для управляемого модуля HSM для Azure Key Vault, который был обратимо удален. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить управляемый модуль HSM для Azure Key Vault во время периода хранения при обратимом удалении. Audit, Deny, Disabled 1.0.0
В Azure Key Vault должен быть отключен общий доступ по сети Отключите доступ по общедоступной сети для своего хранилища ключей, чтобы оно было недоступно через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/akvprivatelink. Audit, Deny, Disabled 1.1.0
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Azure Key Vault должен использовать модель разрешений RBAC Включите модель разрешений RBAC в хранилищах ключей. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration. Audit, Deny, Disabled 1.0.1
Для хранилищ ключей Azure должен использоваться приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Сертификаты должны быть выданы указанным интегрированным центром сертификации Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав интегрированные с Azure центры сертификации (например, например Digicert или GlobalSign), которые могут выдавать сертификаты в вашем хранилище ключей. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Сертификаты должны быть выданы указанным неинтегрированным центром сертификации Управление требованиями к соответствию организации путем указания одного пользовательского или внутреннего центра сертификации, которые могут выдавать сертификаты в хранилище ключей. audit, Audit, deny, Deny, disabled, Disabled 2.1.1
Для сертификатов необходимо настроить указанные триггеры действия для времени существования Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав, активируется ли действие времени существования сертификата при достижении определенного процента времени существования или через определенное число дней до истечения срока действия. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Сертификаты должны иметь указанный максимальный срок действия Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. audit, Audit, deny, Deny, disabled, Disabled 2.2.1
Срок действия сертификатов не должен истечь в течение указанного числа дней Вы можете управлять сертификатами, срок действия которых истечет через указанное число дней, чтобы у организации было достаточно времени на замену таких сертификатов. audit, Audit, deny, Deny, disabled, Disabled 2.1.1
Сертификаты должны использовать разрешенные типы ключей Вы можете управлять требованиями к обеспечению соответствия для своей организации, ограничивая разрешенные для сертификатов типы ключей. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
У сертификатов, использующих шифрование на основе эллиптических кривых, должны быть разрешенные имена кривых Вы можете управлять разрешенными именами эллиптических кривых для сертификатов ECC, хранящихся в хранилище ключей. Дополнительные сведения см. здесь: https://aka.ms/akvpolicy. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Для сертификатов, использующих шифрование RSA, должен быть указан минимальный размер ключа Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав минимальный размер ключа для сертификатов RSA, хранящихся в хранилище ключей. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Настройка использования частных зон DNS для хранилищ ключей Azure Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в хранилище ключей. См. дополнительные сведения: https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.1
Настройка частных конечных точек для хранилищ ключей Azure Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.1
Настройка хранилища ключей для поддержки брандмауэра Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. Затем можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Modify, Disabled 1.1.1
Развертывание: настройка параметров диагностики для связи Azure Key Vault с рабочей областью Log Analytics Развертывает для Azure Key Vault параметры диагностики, настроенные для потоковой передачи журналов ресурсов в рабочую область Log Analytics, при создании или изменении Key Vault, где эти параметры отсутствуют. DeployIfNotExists, Disabled 2.0.1
Развертывание — настройте в концентраторе событий параметры диагностики, которые должны быть включены на управляемом модуле HSM для Azure Key Vault Развертывает параметры диагностики управляемого модуля HSM для Azure Key Vault для потоковой передачи в региональный концентратор событий при создании или изменении управляемого модуля HSM для Azure Key Vault, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Развернуть параметры диагностики для Key Vault в концентраторе событий Развертывает параметры диагностики для Key Vault для потоковой передачи в региональный концентратор событий при создании или изменении любого ресурса Key Vault, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 3.0.1
Для ключей Key Vault должна быть задана дата окончания срока действия Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.2
Для секретов Key Vault должна быть задана дата окончания срока действия Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.2
В хранилищах ключей должна быть включена защита от удаления Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. Audit, Deny, Disabled 2.1.0
В хранилищах ключей должно быть включено обратимое удаление Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. Audit, Deny, Disabled 3.0.0
Ключи должны поддерживаться аппаратным модулем безопасности (HSM) Аппаратный модуль безопасности (HSM) используется для хранения ключей. HSM обеспечивает физический уровень защиты для криптографических ключей. Криптографический ключ не может покинуть физическое устройство HSM, что обеспечивает более высокий уровень безопасности, чем при использовании программного ключа. Audit, Deny, Disabled 1.0.1
Ключи должны иметь указанный тип шифрования RSA или EC Некоторые приложения требуют использовать ключи, поддерживаемых определенным типом шифрования. Принудительно используйте в своей среде определенный тип криптографического ключа (RSA или EC). Audit, Deny, Disabled 1.0.1
Ключи должны иметь политику поворота, гарантирующую, что их смена запланирована в течение указанного числа дней после создания. Управление требованиями к соответствию организации путем указания максимального числа дней после создания ключа до его смены. Audit, Disabled 1.0.0
Ключи должны иметь больше указанного числа дней до истечения срока действия Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. Audit, Deny, Disabled 1.0.1
Для ключей должен быть указан максимальный срок действия Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени в днях, в течение которого ключ будет действительным в хранилище ключей. Audit, Deny, Disabled 1.0.1
Ключи не должны быть активными дольше указанного числа дней Укажите число дней, в течение которых должен быть активен ключ. При использовании ключей в течение продолжительного времени увеличивается вероятность их компрометации злоумышленником. В целях безопасности рекомендуется следить за тем, чтобы ключи не были активны дольше двух лет. Audit, Deny, Disabled 1.0.1
У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. Audit, Deny, Disabled 1.0.1
Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. Audit, Deny, Disabled 1.0.1
В управляемом модуле HSM в Azure Key Vault необходимо включить журналы ресурсов Чтобы воссоздать следы действий для расследования инцидентов безопасности или несанкционированного доступа к сети, можно выполнить аудит, включив журналы ресурсов в управляемых модулях HSM. Следуйте инструкциям из этой статьи: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
В Key Vault должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
Для секретов должен быть задан тип содержимого Тег типа содержимого помогает определить, является ли секрет паролем, строкой подключения и т. д. У разных секретов есть различные требования к смене секретов. Для секретов должен быть задан тег типа содержимого. Audit, Deny, Disabled 1.0.1
Секреты должны иметь больше указанного числа дней до истечения срока действия Если секрет слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Секреты необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. Audit, Deny, Disabled 1.0.1
Для секретов должен быть указан максимальный срок действия Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени в днях, в течение которого секрет будет действительным в хранилище ключей. Audit, Deny, Disabled 1.0.1
Секреты не должны быть активными дольше указанного числа дней Если при создании секретов была задана дата активации в будущем, необходимо убедиться, что секреты не были активны дольше указанного времени. Audit, Deny, Disabled 1.0.1

Kubernetes

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]: [Целостность изображений] Кластеры Kubernetes должны использовать только изображения, подписанные нотацией Используйте образы, подписанные нотацией, чтобы гарантировать, что образы приходят из доверенных источников и не будут вредоносным образом изменены. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. Audit, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[предварительная версия]: не удается изменить отдельные узлы Не удается изменить отдельные узлы. Пользователи не должны изменять отдельные узлы. Измените пулы узлов. Изменение отдельных узлов может привести к несогласованным параметрам, операционным проблемам и потенциальным рискам безопасности. Audit, Deny, Disabled 1.1.1 (предварительный просмотр)
[Предварительная версия]: настройка кластеров Kubernetes с поддержкой Azure Arc для установки расширения Microsoft Defender для облака Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Disabled 7.1.0-preview
[предварительная версия]: развертывание целостности изображений на Служба Azure Kubernetes Развертывание кластеров Azure Kubernetes с целостностью образов и политиками. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. DeployIfNotExists, Disabled 1.0.5-preview
[Предварительная версия]. Контейнеры кластеров Kubernetes должны извлекать изображения только при наличии секретов извлечения образа. Ограничение извлечения образов контейнеров для принудительного применения функции ImagePullSecrets, обеспечение безопасного и авторизованного доступа к образам в кластере Kubernetes Audit, Deny, Disabled 1.1.0 (предварительная версия)
[Предварительная версия]: службы кластеров Kubernetes должны использовать уникальные селекторы Убедитесь, что службы в пространстве имен имеют уникальные селекторы. Уникальный селектор службы гарантирует, что каждая служба в пространстве имен однозначно идентифицируется на основе определенных критериев. Эта политика синхронизирует ресурсы входящего трафика в OPA через Gatekeeper. Перед применением убедитесь, что емкость памяти pod Gatekeeper не будет превышена. Параметры применяются к определенным пространствам имен, но синхронизирует все ресурсы этого типа во всех пространствах имен. В настоящее время в предварительной версии службы Kubernetes (AKS). Audit, Deny, Disabled 1.1.1 (предварительный просмотр)
[предварительная версия]: кластер Kubernetes должен реализовать точные бюджеты нарушений pod Предотвращает неисправные бюджеты сбоев pod, обеспечивая минимальное количество операционных модулей pod. Дополнительные сведения см. в официальной документации Kubernetes. Использует данные Gatekeeper реплика tion и синхронизирует все ресурсы входящего трафика, область с ним в OPA. Прежде чем применять эту политику, убедитесь, что синхронизированные ресурсы входящего трафика не напрягают емкость памяти. Хотя параметры оценивают определенные пространства имен, все ресурсы этого типа в пространствах имен синхронизируются. Примечание. В настоящее время в предварительной версии службы Kubernetes (AKS). Audit, Deny, Disabled 1.1.1 (предварительный просмотр)
[предварительная версия]: кластеры Kubernetes должны ограничить создание заданного типа ресурса Не следует развертывать заданный тип ресурса Kubernetes в определенном пространстве имен. Audit, Deny, Disabled 2.2.0-preview
[предварительная версия]: должен иметь набор правил защиты от сходства Эта политика гарантирует, что модули pod запланированы на разных узлах кластера. При применении правил защиты от сходства доступность сохраняется даже в том случае, если один из узлов становится недоступным. Модули Pod будут продолжать работать на других узлах, повышая устойчивость. Audit, Deny, Disabled 1.1.1 (предварительный просмотр)
[предварительная версия]: нет конкретных меток AKS Запрещает клиентам применять определенные метки AKS. AKS использует префиксы меток, заданные для kubernetes.azure.com обозначения принадлежащих AKS компонентов. Клиент не должен использовать эти метки. Audit, Deny, Disabled 1.1.1 (предварительный просмотр)
[предварительная версия]: зарезервированный пул системных фрагментов Ограничивает только системный пул критическихaddonsOnly. AKS использует интрант CriticalAddonsOnly, чтобы сохранить модули pod клиента от системного пула. Это обеспечивает четкое разделение между компонентами AKS и клиентскими модулями pod, а также предотвращает вытеснение модулей pod клиентов, если они не допускают то, что критически важные элементыOnly не допускаются. Audit, Deny, Disabled 1.1.1 (предварительный просмотр)
Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure Расширение Политики Azure для Azure Arc обеспечивает согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. AuditIfNotExists, Disabled 1.1.0
В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение "Открытая сетка службы" Расширение "Открытая сетка службы" предоставляет все стандартные возможности сетки служб для обеспечения безопасности, управления трафиком и наблюдаемости служб приложений. Дополнительные сведения приведены здесь: https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Strimzi Kafka Расширение Strimzi Kafka предоставляет операторам установку Kafka для создания конвейеров данных в режиме реального времени и потоковой передачи приложений с возможностями безопасности и наблюдаемости. Дополнительные сведения см. здесь https://aka.ms/arc-strimzikafka-doc: DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Кластеры Azure Kubernetes должны включить интерфейс служба хранилища контейнера (CSI) Интерфейс служба хранилища контейнера (CSI) — это стандарт для предоставления произвольных блоков и файловых систем хранилища контейнерным рабочим нагрузкам в Служба Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver Audit, Disabled 1.0.0
Кластеры Azure Kubernetes должны включать служба управления ключами (KMS) Используйте служба управления ключами (KMS) для шифрования неактивных данных секретов в etcd для безопасности кластера Kubernetes. См. дополнительные сведения: https://aka.ms/aks/kmsetcdencryption. Audit, Disabled 1.0.0
Кластеры Azure Kubernetes должны использовать Azure CNI Azure CNI является необходимым компонентом для некоторых функций Службы Azure Kubernetes, включая политики сети Azure, пулы узлов Windows и надстройку виртуальных узлов. См. дополнительные сведения: https://aka.ms/aks-azure-cni. Audit, Disabled 1.0.1
Кластеры службы Azure Kubernetes должны отключить вызов команды Отключение вызова команды может повысить безопасность путем избегания обхода ограниченного сетевого доступа или управления доступом на основе ролей Kubernetes Audit, Disabled 1.0.1
Кластеры Служба Azure Kubernetes должны включить автоматическое обновление кластера Автоматическое обновление кластера AKS может обеспечить актуальность кластеров и не пропускать последние функции или исправления из AKS и вышестоящий Kubernetes. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. Audit, Disabled 1.0.0
Кластеры Служба Azure Kubernetes должны включить очистку образов Image Clean выполняет автоматически уязвимые, неиспользуемые идентификации и удаления изображений, что снижает риск устаревших изображений и сокращает время, необходимое для их очистки. См. дополнительные сведения: https://aka.ms/aks/image-cleaner. Audit, Disabled 1.0.0
Кластеры Служба Azure Kubernetes должны включить интеграцию идентификатора Microsoft Entra Интеграция идентификатора Microsoft Entra, управляемого AKS, может управлять доступом к кластерам, настроив управление доступом на основе ролей Kubernetes (Kubernetes RBAC) на основе удостоверения пользователя или членства в группах каталогов. См. дополнительные сведения: https://aka.ms/aks-managed-aad. Audit, Disabled 1.0.2
Кластеры Служба Azure Kubernetes должны включить автоматическое обновление ос узла Обновления системы автоматического обновления узла AKS управляют обновлениями безопасности ОС на уровне узла. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. Audit, Disabled 1.0.0
Кластеры Служба Azure Kubernetes должны включить удостоверение рабочей нагрузки Удостоверение рабочей нагрузки позволяет назначить уникальное удостоверение каждому pod Kubernetes и связать его с защищенными ресурсами Azure AD, такими как Azure Key Vault, что обеспечивает безопасный доступ к этим ресурсам из pod. См. дополнительные сведения: https://aka.ms/aks/wi. Audit, Disabled 1.0.0
В кластерах Службы Azure Kubernetes должен быть включен профиль Defender Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. Audit, Disabled 2.0.1
Для кластеров Службы Azure Kubernetes должны быть отключены локальные способы проверки подлинности Отключение локальных способов проверки подлинности повышает уровень безопасности. В этом случае для проверки подлинности кластеры Службы Azure Kubernetes будут требовать исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aks-disable-local-accounts. Audit, Deny, Disabled 1.0.1
Кластеры Службы Azure Kubernetes должны использовать управляемые удостоверения Используйте управляемые удостоверения для создания оболочки для субъектов-служб, более удобного управления кластерами и уменьшения сложности, связанной с управляемыми субъектами-службами. См. дополнительные сведения: https://aka.ms/aks-update-managed-identities. Audit, Disabled 1.0.1
Частные кластеры Службы Azure Kubernetes должны быть включены Включение функции частных кластеров для кластера Службы Azure Kubernetes для гарантии того, что сетевой трафик между сервером API и пулами узлов останется внутри частной сети. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. Audit, Disabled 1.0.2
Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
Настройка кластеров Kubernetes с поддержкой Azure Arc для установки расширения Политика Azure Разверните расширение Политики Azure для Azure Arc, чтобы обеспечить согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 1.1.0
Настройка кластеров Службы Azure Kubernetes для активации профиля Defender Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.Defender в кластере Служба Azure Kubernetes агент развертывается в кластере для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, Disabled 4.1.0
Настройка установки расширения Flux в кластере Kubernetes Установите расширение Flux в кластере Kubernetes, чтобы включить развертывание "fluxconfigurations" в кластере DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью источника контейнера и секретов в KeyVault Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуется секретный ключ контейнера, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и сертификата ЦС HTTPS Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется сертификат ЦС HTTPS. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.1
Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов HTTPS Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет ключа HTTPS, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и локальных секретов Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов SSH Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет закрытого ключа SSH, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью общедоступного репозитория Git Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Kubernetes с указанным источником контейнеров Flux v2 с использованием локальных секретов Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов HTTPS Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуются секреты ключа и пользователя HTTPS, хранимые в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps без использования секретов Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов SSH Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуется секрет закрытого ключа SSH в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Настройка интегрированных кластеров Служба Azure Kubernetes идентификатора Microsoft Entra с необходимым доступом к группам Администратор Обеспечение безопасности кластера путем централизованного управления доступом Администратор istrator к интегрированным кластерам AKS в Microsoft Entra ID. DeployIfNotExists, Disabled 2.1.0
Настройка автоматического обновления ОС узла в кластере Azure Kubernetes Используйте автоматическое обновление ОС узла для управления обновлениями безопасности ос на уровне узла кластеров Служба Azure Kubernetes (AKS). Дополнительные сведения см. в статье https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. DeployIfNotExists, Disabled 1.0.1
Развертывание — настройка параметров диагностики для службы Azure Kubernetes в рабочей области Log Analytics Развертывание для Службы Azure Kubernetes параметров диагностики, настроенных для потоковой передачи журналов ресурсов в рабочую область Log Analytics. DeployIfNotExists, Disabled 3.0.0
Развертывание надстройки службы "Политика Azure" в кластерах Службы Azure Kubernetes Надстройка службы "Политика Azure" позволяет управлять состоянием соответствия кластеров Службы Azure Kubernetes (AKS) и получать уведомления о нем. Дополнительные сведения см. в разделе https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 4.1.0
Развертывание очистки образа в Служба Azure Kubernetes Развертывание image Cleaner в кластерах Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-cleaner. DeployIfNotExists, Disabled 1.0.4
Развертывание планового обслуживания для планирования и контроля обновлений для кластера Служба Azure Kubernetes (AKS) Плановое обслуживание позволяет планировать еженедельные периоды обслуживания для выполнения обновлений и минимизации влияния на рабочую нагрузку. После планирования обновления выполняются только в выбранном окне. См. дополнительные сведения: https://aka.ms/aks/planned-maintenance. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Отключить вызов команды в кластерах службы Azure Kubernetes Отключение вызова команды может повысить безопасность путем отклонения доступа invoke-command к кластеру DeployIfNotExists, Disabled 1.2.0
Убедитесь, что в контейнерах кластера настроены пробы проверки готовности или активности Эта политика обеспечивает настройку всех проб готовности и (или) активности для всех модулей pod. Пробы могут иметь тип tcpSocket, httpGet или exec. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.2.0
Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.2.0
Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Контейнеры в кластере Kubernetes не должны использовать запрещенные интерфейсы sysctl Контейнеры не должны использовать запрещенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.1
Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные образы Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.2.0
Контейнеры в кластере Kubernetes должны использовать только разрешенный тип ProcMountType Контейнеры объектов pod могут использовать только разрешенные типы ProcMountType в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.1
Контейнеры в кластере Kubernetes должны использовать только разрешенную политику получения Ограничить политику получения контейнеров, чтобы контейнеры использовали только разрешенные образы в развертываниях Audit, Deny, Disabled 3.1.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные профили seccomp Контейнеры объектов pod могут использовать только разрешенные профили seccomp в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Тома FlexVolume объектов pod в кластере Kubernetes должны использовать только разрешенные драйверы Тома FlexVolume объектов pod должны использовать только разрешенные драйверы в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.1
Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.1
Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.1
Объекты pod и контейнеры в кластере Kubernetes должны использовать только разрешенные параметры SELinux Объекты pod и контейнеры должны использовать только разрешенные параметры SELinux в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Объекты pod в кластере Kubernetes должны использовать только разрешенные типы томов Объекты pod могут использовать только разрешенные типы томов в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.1
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Объекты pod кластера Kubernetes должны использовать указанные метки Использование заданных меток для идентификации объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Службы кластера Kubernetes должны прослушивать только разрешенные порты Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Службы кластеров Kubernetes должны использовать только разрешенные внешние IP-адреса Использование разрешенных внешних IP-адресов для предотвращения потенциальной атаки (CVE-2020-8554) в кластере Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Кластер Kubernetes не должен разрешать привилегированные контейнеры Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Кластер Kubernetes не должен использовать незащищенные объекты Pod Блокировка использования незащищенных объектов Pod. После отказа узла незащищенные объекты Pod не будут запланированы заново. Объектами Pod должны управлять Deployment, Replicset, Daemonset или Jobs Audit, Deny, Disabled 2.1.0
Контейнеры Windows в кластере Kubernetes не должны допускать избыточного выделения ЦП и памяти Запросы ресурсов контейнера Windows не должны превышать установленное ограничение ресурсов или не должны быть заданы вообще во избежание повышенных обязательств. Если память Windows избыточно подготовлена, она будет обрабатывать страницы на диске, что может замедлить производительность вместо завершения работы контейнера по причине недостаточного объема памяти Audit, Deny, Disabled 2.1.0
Контейнеры Windows кластера Kubernetes не должны выполняться в качестве контейнера Администратор istrator Запретить использование контейнера Администратор istrator в качестве пользователя для выполнения процессов контейнера для модулей pod или контейнеров Windows. Эта рекомендация предназначена для повышения безопасности узлов Windows. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. Audit, Deny, Disabled 1.1.0
Контейнеры Windows в кластере Kubernetes должны запускаться только с утвержденными пользователями и группами пользователей домена Управляйте пользователями, которых объекты Pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта рекомендация является частью политик безопасности объекта Pod на узлах Windows, которые предназначены для повышения уровня безопасности сред Kubernetes. Audit, Deny, Disabled 2.1.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Кластеры Kubernetes должны отключить учетные данные API автоподключения Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.1.0
Кластеры Kubernetes должны убедиться, что роль администратора кластера используется только при необходимости. Роль "cluster-admin" предоставляет широкие возможности по сравнению с средой и должна использоваться только там, где и когда это необходимо. Audit, Disabled 1.0.0
Кластеры Kubernetes должны свести к минимуму дикие карта использовать в роли и роли кластера Использование wild карта s "*" может быть угрозой безопасности, так как она предоставляет широкие разрешения, которые могут не потребоваться для определенной роли. Если у роли слишком много разрешений, возможно, злоумышленник или скомпрометированный пользователь может получить несанкционированный доступ к ресурсам в кластере. Audit, Disabled 1.0.0
Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Кластеры Kubernetes должны запрещать использование разрешений на изменение конечных точек в ClusterRole/system:aggregate-to-edit В ClusterRole/system:aggregate-to-edit должно быть запрещено использование разрешений на изменение конечных точек из-за уязвимости CVE-2021-25740 (подробное описание: https://github.com/kubernetes/kubernetes/issues/103675). Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. Audit, Disabled 3.1.0
Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Кластеры Kubernetes не должны использовать определенные возможности защиты Запретите определенные возможности защиты в кластерах Kubernetes, чтобы предотвратить использование непредоставленных прав доступа к ресурсу Pod. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Кластеры Kubernetes не должны использовать пространство имен по умолчанию Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.1.0
Кластеры Kubernetes должны использовать драйвер Container Storage Interface (CSI) StorageClass Интерфейс хранилища контейнеров (CSI) — это стандарт для предоставления систем хранения произвольных блоков и файлов для контейнерных рабочих нагрузок в Kubernetes. Класс StorageClass средства подготовки в дереве должен стать нерекомендуемым с выпуска версии AKS 1.21. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver Audit, Deny, Disabled 2.2.0
Кластеры Kubernetes должны использовать внутренние подсистемы балансировки нагрузки Использование внутренних подсистем балансировки нагрузки для ограничения доступа к Службе Kubernetes только приложениями, запущенными в той же виртуальной сети, что и кластер Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Ресурсы Kubernetes должны иметь обязательные примечания Убедитесь, что необходимые заметки подключены к определенному типу ресурсов Kubernetes для повышения эффективности управления ресурсами Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.1.0
Журналы ресурсов в Службе Azure Kubernetes должны быть включены Журналы ресурсов Службы Azure Kubernetes позволяют восстановить порядок действий при расследовании инцидентов с безопасностью. Включите ведение этих журналов, чтобы воспользоваться ими при необходимости. AuditIfNotExists, Disabled 1.0.0
Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1

Службы лабораторий

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Службы лаборатории должны включить все параметры автоматического завершения работы Эта политика помогает управлять затратами за счет принудительного включения всех параметров автоматического отключения для лаборатории. Audit, Deny, Disabled 1.1.0
Службы лаборатории не должны разрешать шаблонные виртуальные машины для лабораторий Эта политика запрещает создание и настройку шаблонов виртуальных машин для лабораторий, управляемых с помощью служб лаборатории. Audit, Deny, Disabled 1.1.0
Службы лаборатории должны предусматривать требование о пользователях без прав администратора для лабораторий Эта политика требует создания учетных записей пользователей без прав администратора для лабораторий, управляемых через службы лабораторий. Audit, Deny, Disabled 1.1.0
Службы лабораторий должны ограничить допустимые размеры SKU виртуальных машин Эта политика позволяет ограничить определенные SKU вычислительных виртуальных машин для лабораторий, управляемых с помощью служб лаборатории. Это приводит к ограничению размеров определенных виртуальных машин. Audit, Deny, Disabled 1.1.0

Lighthouse

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разрешить подключение идентификаторов управляющих клиентов с помощью Azure Lighthouse Ограничение делегирования Azure Lighthouse определенным управляющим клиентам повышает безопасность за счет разрешения тех, кто может управлять ресурсами Azure. запретить 1.0.1
Аудит делегирования областей для управления клиентом Аудит делегирования областей управляющему клиенту с помощью Azure Lighthouse. Audit, Disabled 1.0.0

Logic Apps

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Среда службы интеграции Logic Apps должна быть зашифрована с помощью ключей, управляемых клиентом Выполните развертывание в среде службы интеграции для управления шифрованием неактивных данных Logic Apps с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Audit, Deny, Disabled 1.0.0
Logic Apps следует развертывать в среде службы интеграции Развертывание Logic Apps в среде службы интеграции в виртуальной сети включает расширенные возможности сетевого взаимодействия и защиты Logic Apps, а также обеспечивает больший контроль над конфигурацией сети. См. дополнительные сведения: https://aka.ms/integration-service-environment. Развертывание в среде службы интеграции также позволяет выполнять шифрование с помощью ключей, управляемых клиентом, обеспечивая усиленную защиту данных благодаря возможности управления ключами шифрования. Это часто необходимо для удовлетворения требований по обеспечению соответствия. Audit, Deny, Disabled 1.0.0
В Logic Apps должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.1.0

Машинное обучение

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]: развертывание реестра моделей Машинное обучение Azure ограничено, за исключением разрешенного реестра Развертывание только моделей реестра в разрешенном реестре и не ограничено. Deny, Disabled 1.0.0 (предварительная версия)
Экземпляр Вычислительной среды Машинного обучения Azure должен завершать работу в режиме простоя. Расписание завершения работы в режиме простоя позволяет сократить затраты за счет завершения работы вычислений, находящихся в режиме простоя после заранее определенного периода действия. Audit, Deny, Disabled 1.0.0
Машинное обучение Azure вычислительных экземпляров необходимо повторно создать, чтобы получить последние обновления программного обеспечения Убедитесь, что Машинное обучение Azure вычислительные экземпляры выполняются в последней доступной операционной системе. Безопасность улучшается, а уязвимости сокращаются за счет выполнения последних исправлений безопасности. Дополнительные сведения см. на странице https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Машинное обучение Azure вычисления должны находиться в виртуальной сети. Azure виртуальная сеть обеспечивают повышенную безопасность и изоляцию для Машинное обучение Azure вычислительных кластеров и экземпляров, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Если вычислительная среда настроена с виртуальной сетью, она не является общедоступной и может быть доступна только из виртуальных машин и приложений в виртуальной сети. Audit, Disabled 1.0.1
Машинное обучение Azure вычисления должны иметь локальные методы проверки подлинности отключены Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Машинное обучение вычисления требуют удостоверения Azure Active Directory исключительно для проверки подлинности. См. дополнительные сведения: https://aka.ms/azure-ml-aad-policy. Audit, Deny, Disabled 2.1.0
Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3
Машинное обучение Azure рабочие области должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Машинное обучение рабочие области не предоставляются в общедоступном Интернете. Вместо этого можно управлять воздействием рабочих областей, создавая частные конечные точки. Дополнительные сведения см. в следующем: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Audit, Deny, Disabled 2.0.1
Рабочие области машинного обучения Azure должны включить V1LegacyMode для поддержки обратной совместимости сетевой изоляции Служба "Машинное обучение Azure" переводится на новую платформу API версии 2 в Azure Resource Manager, и вы можете управлять версией платформы API с помощью параметра V1LegacyMode. Включение параметра V1LegacyMode позволит сохранить рабочие области в сетевой изоляции версии 1, хотя вы не сможете использовать новые функции версии 2. Мы рекомендуем включать устаревший режим версии 1 только в том случае, если нужно сохранить данные уровня управления AzureML в частных сетях. См. дополнительные сведения: https://aka.ms/V1LegacyMode. Audit, Deny, Disabled 1.0.0
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Рабочие области Машинного обучения Azure должны использовать назначаемое пользователем управляемое удостоверение Обеспечьте управление доступом к рабочей области Машинного обучения Azure и связанными ресурсами, Реестром контейнеров Azure, KeyVault, службой хранилища и App Insights с помощью назначаемого пользователем управляемого удостоверения. По умолчанию рабочая область Машинного обучения Azure для доступа к связанным ресурсам использует назначаемое системой управляемое удостоверение. Назначаемое пользователем управляемое удостоверение позволяет создать удостоверение в виде ресурса Azure и поддерживать его жизненный цикл. Узнайте больше по адресу https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, Disabled 1.0.0
Настройка вычислений Машинное обучение Azure для отключения локальных методов проверки подлинности Отключите методы проверки подлинности расположения, чтобы Машинное обучение вычисления требовали удостоверения Azure Active Directory исключительно для проверки подлинности. См. дополнительные сведения: https://aka.ms/azure-ml-aad-policy. Modify, Disabled 2.1.0
Настройка рабочей области машинного обучения Azure для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в рабочие области Машинного обучения Azure. См. дополнительные сведения: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.1.0
Настройка рабочих областей Машинное обучение Azure для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для рабочих областей Машинное обучение Azure, чтобы рабочие области не были доступны через общедоступный Интернет. Это помогает защитить рабочие области от рисков утечки данных. Вместо этого можно управлять воздействием рабочих областей, создавая частные конечные точки. Дополнительные сведения см. в следующем: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Modify, Disabled 1.0.3
Настройка частных конечных точек для рабочих областей Машинного обучения Azure Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с рабочей областью Машинного обучения Azure, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
Настройка параметров диагностики для рабочих областей Машинное обучение Azure в рабочей области Log Analytics Развертывает параметры диагностики для рабочих областей Машинное обучение Azure для потоковой передачи журналов ресурсов в рабочую область Log Analytics при создании или обновлении любой Машинное обучение Azure рабочей области, в которой отсутствуют эти параметры диагностики. DeployIfNotExists, Disabled 1.0.1
Журналы ресурсов в рабочих областях Машинное обучение Azure должны быть включены Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. AuditIfNotExists, Disabled 1.0.1

Управляемое приложение

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение приложения для управляемого приложения должно использовать учетную запись хранения, предоставленную клиентом Используйте собственную учетную запись хранения для управления данными определения приложения, если это нормативное требование или требование к обеспечению соответствия. Вы можете сохранить определение управляемого приложения в учетной записи хранения, которую вы указали во время создания. Это позволит полностью контролировать расположение приложения и доступ к нему в соответствии с требованиями к обеспечению соответствия. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Развертывание связываний для управляемого приложения Развертывает ресурс для связывания выбранных типов ресурсов с указанным управляемым приложением. Эта политика не поддерживает вложенные типы ресурсов. deployIfNotExists 1.0.0

Управляемая платформа Grafana

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управляемый Grafana Azure должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с Managed Grafana, вы можете снизить риски утечки данных. Audit, Disabled 1.0.0
Рабочие области Azure Managed Grafana должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что рабочая область Azure Managed Grafana не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие рабочих областей. Audit, Deny, Disabled 1.0.0
Настройка панелей мониторинга Grafana в Azure с частными конечными точками Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с Управляемым Grafana Azure, вы можете снизить риски утечки данных. DeployIfNotExists, Disabled 1.0.0
Настройка рабочих областей Azure Managed Grafana для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для рабочей области Azure Managed Grafana, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. Modify, Disabled 1.0.0
Настройка рабочих областей Azure Managed Grafana для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения рабочих областей Azure Managed Grafana. DeployIfNotExists, Disabled 1.0.0

Управляемое удостоверение

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[предварительная версия]. Федеративные учетные данные управляемого удостоверения из Azure Kubernetes должны быть из доверенных источников Эта политика ограничивает федерецию с кластерами Azure Kubernetes только для кластеров из утвержденных клиентов, утвержденных регионов и определенного списка исключений дополнительных кластеров. Audit, Disabled, Deny 1.0.0 (предварительная версия)
[предварительная версия]: федеративные учетные данные управляемого удостоверения из GitHub должны быть у владельцев доверенных репозиториев Эта политика ограничивает федерацию репозиториями GitHub только утвержденным владельцам репозитория. Audit, Disabled, Deny 1.0.1 (предварительная версия)
[предварительная версия]: федеративные учетные данные управляемого удостоверения должны быть из разрешенных типов издателей Эта политика ограничивает, могут ли управляемые удостоверения использовать федеративные учетные данные, которым разрешены распространенные типы издателей, и предоставляет список разрешенных исключений издателя. Audit, Disabled, Deny 1.0.0 (предварительная версия)
[предварительная версия]: назначение встроенного управляемого удостоверения, назначаемого пользователем, Масштабируемые наборы виртуальных машин Создайте и назначьте Масштабируемым наборам виртуальных машин встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.6-preview
[Предварительная версия]: назначение встроенного управляемого удостоверения, назначаемого пользователем, Виртуальные машины Создайте и назначьте виртуальным машинам встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.6-preview

Карты

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Средства CORS не должны разрешать всем ресурсам доступ к вашей учетной записи сопоставления. Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашей учетной записи сопоставления всем доменам. Разрешите взаимодействие с учетной записью сопоставления только необходимым доменам. Disabled, Audit, Deny 1.0.0

Службы мультимедиа

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетным записям Служб мультимедиа Azure должен быть запрещен доступ к общедоступным сетям Отключение от общедоступной сети обеспечивает дополнительную защиту и гарантирует, что ресурсы Служб мультимедиа Azure не будут доступны в Интернете. Создание частных конечных точек позволяет ограничить доступ к ресурсам Служб мультимедиа. См. дополнительные сведения: https://aka.ms/mediaservicesprivatelinkdocs. Audit, Deny, Disabled 1.0.0
Учетные записи служб мультимедиа Azure должны использовать API, который поддерживает Приватный канал Учетные записи Служб мультимедиа должны создаваться с помощью API, который поддерживает Приватный канал. Audit, Deny, Disabled 1.0.0
Учетные записи служб мультимедиа Azure, предоставляющие доступ к устаревшей API версии 2, должны блокироваться Устаревший API версии 2 Служб мультимедиа позволяет выполнять запросы, которые не могут быть управляемыми с помощью Политики Azure. Ресурсы Служб мультимедиа, созданные с помощью API 2020-05-01 или более поздней версии, блокируют доступ к устаревшему API версии 2. Audit, Deny, Disabled 1.0.0
Политики ключей содержимого Служб мультимедиа Azure должны использовать проверку подлинности по маркерам Политики ключей содержимого определяют условия, которые должны соблюдаться для доступа к ключам содержимого. Ограничение маркера гарантирует доступ к ключам содержимого только пользователям, имеющим допустимые маркеры из службы проверки подлинности, например идентификатора Microsoft Entra. Audit, Deny, Disabled 1.0.1
Задания Служб мультимедиа Azure с входными данными HTTPS должны ограничивать входные URI шаблонами разрешенных URI Ограничьте входные данные HTTPS, используемые заданиями Служб мультимедиа, на известные конечные точки. Входные данные из конечных точек HTTPS можно полностью отключить, настроив пустой список шаблонов разрешенных входных данных заданий. Если входные данные задания указывают значение baseUri, шаблоны сопоставляются с этим значением; если baseUri не задан, шаблон сопоставляется со свойством files. Deny, Disabled 1.0.1
Службы мультимедиа Azure должны использовать для шифрования неактивных данных управляемые клиентом ключи Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетных записях Служб мультимедиа. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/mediaservicescmkdocs. Audit, Deny, Disabled 1.0.0
Службы мультимедиа Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со Службами мультимедиа, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, Disabled 1.0.0
Настройка Служб мультимедиа Azure для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в учетные записи Служб мультимедиа. См. дополнительные сведения: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0
Настройка Служб мультимедиа Azure с частными конечными точками Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки со Службами мультимедиа, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0

Миграция

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка использования частных зон DNS для ресурсов Миграции Azure Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в проект службы "Миграция Azure". См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0

мобильная сеть;

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка диагностического доступа уровня управления "Ядро пакетов" для использования типа проверки подлинности Microsoft EntraID Тип Authenticaton должен быть Microsoft EntraID для доступа к ядрам пакетов через локальные API Modify, Disabled 1.0.0
Диагностический доступ уровня управления пакетами должен использовать только тип проверки подлинности Microsoft EntraID Тип Authenticaton должен быть Microsoft EntraID для доступа к ядрам пакетов через локальные API Audit, Deny, Disabled 1.0.0
Группа SIM-карт должна использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных секретов SIM в группе SIM. Ключи, управляемые клиентом, обычно требуются для соответствия нормативным стандартам, и они позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Audit, Deny, Disabled 1.0.0

Наблюдение

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Настройка компьютеров Linux с поддержкой Azure Arc с помощью агентов Log Analytics, подключенных к рабочей области Log Analytics по умолчанию Защитите компьютеры Linux, подключенные к Azure Arc, с помощью Microsoft Defender для облака, установив агенты Log Analytics, которые отправляют данные в рабочую область Log Analytics, созданную Microsoft Defender для облака по умолчанию. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка компьютеров Windows с поддержкой Azure Arc с помощью агентов Log Analytics, подключенных к рабочей области Log Analytics по умолчанию Защитите компьютеры Windows, подключенные к Azure Arc, с помощью Microsoft Defender для облака, установив агенты Log Analytics, которые отправляют данные в рабочую область Log Analytics, созданную Microsoft Defender для облака по умолчанию. DeployIfNotExists, Disabled 1.1.0 (предварительная версия)
[Предварительная версия]. Настройка назначаемого системой управляемого удостоверения для использования назначений Azure Monitor на виртуальных машинах Настройте управляемое удостоверение, назначаемое системой, на виртуальных машинах, размещенных в Azure, которые поддерживаются Azure Monitor и не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение — необходимое условие для всех назначений Azure Monitor, и его следует добавить на компьютеры перед тем, как использовать любое расширение Azure Monitor. Целевые виртуальные машины должны находиться в поддерживаемом расположении. Modify, Disabled 6.0.0-preview
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1-preview
[Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
Журнал действий должен храниться как минимум один год Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). AuditIfNotExists, Disabled 1.0.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Компоненты Application Insights должны блокировать прием журналов и запросы из общедоступных сетей Повысьте безопасность Application Insights, блокируя прием журналов и отправку запросов из общедоступных сетей. Только сети, подключенные по частному каналу, смогут принимать и запрашивать журналы этого компонента. Узнайте больше по адресу https://aka.ms/AzMonPrivateLink#configure-application-insights. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Компоненты Application Insights должны блокировать прием данных без использования Azure Active Directory. Применение проверки подлинности Azure Active Directory при приеме журналов предотвращает получение от злоумышленника непроверенных журналов, которые могли бы привести к неправильному состоянию, ложным оповещениям и сохранению неправильных журналов в системе. Deny, Audit, Disabled 1.0.0
Компоненты Application Insights с включенным приватным каналом должны использовать собственные учетные записи хранения для профилировщика и отладчика. Чтобы обеспечить поддержку политик приватных каналов и ключей, управляемых клиентом, создайте собственную учетную запись хранения для профилировщика и отладчика. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage. Deny, Audit, Disabled 1.0.0
Аудит параметра диагностики для выбранных типов ресурсов Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. Проверить, если не существует 2.0.1
Шлюз приложений Azure должен включать журналы ресурсов Включите журналы ресурсов для Шлюз приложений Azure (плюс WAF) и потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. AuditIfNotExists, Disabled 1.0.0
В Azure Front Door должны быть включены журналы ресурсов Включите журналы ресурсов для Azure Front Door (плюс WAF) и выполните потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. AuditIfNotExists, Disabled 1.0.0
В Azure Front Door уровня "Стандартный" или "Премиум" (плюс WAF) должны быть включены журналы ресурсов. Включите журналы ресурсов для Azure Front Door Уровня "Стандартный" или "Премиум" (плюс WAF) и потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. AuditIfNotExists, Disabled 1.0.0
Оповещения поиска в журналах Azure для рабочих областей Log Analytics должны использовать ключи, управляемые клиентами Убедитесь в том, что оповещения поиска по журналам Azure реализуют ключи, управляемые клиентом, путем хранения текста запроса с использованием учетной записи хранения, предоставленной клиентом для запрашиваемой рабочей области Log Analytics. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Disabled, Deny 1.0.0
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). AuditIfNotExists, Disabled 1.0.0
Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Кластеры журналов Azure Monitor должны использовать шифрование с ключами, управляемыми клиентом Создайте кластер журналов Azure Monitor с шифрованием с ключами, управляемыми клиентом. По умолчанию данные журналов шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключ, управляемый клиентом, в Azure Monitor предоставляет более полный контроль над доступом к данным (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Журналы Azure Monitor для Application Insights должны быть связаны с рабочей областью Log Analytics Свяжите компонент Application Insights с рабочей областью Log Analytics для шифрования журналов. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к данным в Azure Monitor. Связывание компонента с рабочей областью Log Analytics, которая использует ключ, управляемый клиентом, гарантирует соответствие ваших журналов Application Insights этим нормативным требованиям (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Область приватного канала Azure Monitor должна блокировать доступ к ресурсам, не являющимся ресурсами приватного канала Приватный канал Azure позволяет подключать виртуальные сети к ресурсам Azure через частную конечную точку к области приватного канала Azure Monitor (AMPLS). Режимы доступа к Приватному каналу настроены в AMPLS для управления тем, могут ли запросы приема данных и запросы из ваших сетей получать доступ ко всем ресурсам или только к ресурсам Приватного канала (чтобы предотвратить кражу данных). Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Audit, Deny, Disabled 1.0.0
Для области приватного канала Azure Monitor следует использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с областью приватного канала Azure Monitor, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, Disabled 1.0.0
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0
Необходимо развернуть решение "Безопасность и аудит" Azure Monitor Эта политика гарантирует развертывание решения "Безопасность и аудит". AuditIfNotExists, Disabled 1.0.0
Подписки Azure должны иметь профиль журнала для журнала действий Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. AuditIfNotExists, Disabled 1.0.0
Настройка журналов действий Azure для их потоковой передачи в указанную рабочую область Log Analytics Развертывает параметры диагностики действий Azure для потоковой передачи журналов аудита подписок в рабочую область Log Analytics для отслеживания событий на уровне подписки DeployIfNotExists, Disabled 1.0.0
Настройка компонентов Azure Application Insights для отключения доступа через общедоступную сеть для приема и запроса журналов Отключите прием и запросы журналов компонентов из общедоступных сетей для повышения безопасности. Только сети, подключенные по частному каналу, смогут принимать и запрашивать журналы этой рабочей области. Узнайте больше по адресу https://aka.ms/AzMonPrivateLink#configure-application-insights. Modify, Disabled 1.1.0
Настройка рабочих областей Azure Log Analytics для отключения доступа через общедоступную сеть для приема и запроса журналов Повысьте безопасность рабочей области, блокируя прием журналов и отправку запросов из общедоступных сетей. Только сети, подключенные по частному каналу, смогут принимать и запрашивать журналы этой рабочей области. Узнайте больше по адресу https://aka.ms/AzMonPrivateLink#configure-log-analytics. Modify, Disabled 1.1.0
Настроить область приватного канала Azure Monitor для блокировки доступа к ресурсам, не являющимся ресурсами приватного канала Приватный канал Azure позволяет подключать виртуальные сети к ресурсам Azure через частную конечную точку к области приватного канала Azure Monitor (AMPLS). Режимы доступа к Приватному каналу настроены в AMPLS для управления тем, могут ли запросы приема данных и запросы из ваших сетей получать доступ ко всем ресурсам или только к ресурсам Приватного канала (чтобы предотвратить кражу данных). Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Modify, Disabled 1.0.0
Настройка области приватного канала Azure Monitor при использовании частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью, чтобы связать ее с областью приватного канала Azure Monitor. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, Disabled 1.0.0
Настройка областей приватного канала Azure Monitor с помощью частных конечных точек Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставив частные конечные точки с областями приватного канала Azure Monitor, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, Disabled 1.0.0
Настройка Dependency Agent на серверах Linux, подключенных к Azure Arc Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Настройка Dependency Agent на серверах Linux с поддержкой Azure Arc с параметрами агента мониторинга Azure Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent с параметрами агента мониторинга Azure. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Настройка Dependency Agent на серверах Windows Server, подключенных к Azure Arc Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Настройка Dependency Agent на серверах Windows с поддержкой Azure Arc с параметрами агента мониторинга Azure Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent с параметрами агента мониторинга Azure. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Настройка компьютеров Linux Arc для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать компьютеры Linux Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 2.2.0
Настройка компьютеров с поддержкой Linux Arc для запуска агента Azure Monitor Для сбора данных телеметрии из гостевой ОС автоматизируйте развертывание расширения агента Azure Monitor на компьютерах с поддержкой Linux Arc. Эта политика установит расширение, если регион поддерживается. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.3.0
Настройка компьютеров Linux для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать виртуальные машины Linux, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 6.2.0
Настройка Масштабируемые наборы виртуальных машин Linux для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Linux с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 4.2.0
Настройка масштабируемых наборов виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого системой Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.4.0
Настройка масштабируемых наборов виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.5.0
Настройка Виртуальные машины Linux для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать виртуальные машины Linux с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 4.2.0
Настройка виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого системой Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.4.0
Настройка виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.5.0
Настройте расширение Log Analytics на серверах Linux с поддержкой Azure Arc. См. уведомление об устаревании ниже. Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Log Analytics. Аналитика ВМ использует агент Log Analytics для получения данных о производительности гостевых ОС и предоставляет полезные сведения об их производительности. Подробнее: https://aka.ms/vminsightsdocs. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее решение — агент Azure Monitor. DeployIfNotExists, Disabled 2.1.1
Настройка расширения Log Analytics на серверах Windows с поддержкой Azure Arc Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Log Analytics. Аналитика ВМ использует агент Log Analytics для получения данных о производительности гостевых ОС и предоставляет полезные сведения об их производительности. Подробнее: https://aka.ms/vminsightsdocs. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее его решение — агент Azure Monitor. DeployIfNotExists, Disabled 2.1.1
Настройка рабочей области Log Analytics и учетной записи службы автоматизации для централизации ведения журнала и мониторинга Разверните группу ресурсов с рабочей областью Log Analytics и связанной учетной записью службы автоматизации, чтобы централизовать ведение журнала и мониторинг. Учетная запись службы автоматизации — это обязательный компонент для таких возможностей, как обновления и отслеживание изменений. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0
Настройка компьютеров Windows Arc для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать компьютеры Windows Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 2.2.0
Настройка компьютеров с поддержкой Windows Arc для запуска агента Azure Monitor Для сбора данных телеметрии из гостевой ОС автоматизируйте развертывание расширения агента Azure Monitor на компьютерах с поддержкой Windows Arc. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.4.0
Настройка компьютеров Windows для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать виртуальные машины Windows, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 4.3.0
Настройка Масштабируемые наборы виртуальных машин Windows для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Windows с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 3.3.0
Настройка масштабируемых наборов виртуальных машин Windows для запуска агента Azure Monitor с помощью управляемого удостоверения, назначаемого системой Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.4.0
Настройка масштабируемых наборов виртуальных машин Windows для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.4.0
Настройка Виртуальные машины Windows для связи с правилом сбора данных или конечной точкой сбора данных Разверните связь, чтобы связать виртуальные машины Windows с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. DeployIfNotExists, Disabled 3.3.0
Настройка виртуальных машин Windows для запуска агента Azure Monitor с помощью управляемого удостоверения, назначаемого системой Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 4.4.0
Настройка виртуальных машин Windows для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.4.0
Dependency Agent должен быть включен для перечисленных образов виртуальных машин Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. AuditIfNotExists, Disabled 2.0.0
Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин Помечает масштабируемые наборы виртуальных машин как несоответствующие, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. AuditIfNotExists, Disabled 2.0.0
Развертывание — настройка Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows Развертывание агента зависимостей для масштабируемых наборов виртуальных машин Windows, если образ виртуальной машины находится в заданном списке, а агент не установлен. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. DeployIfNotExists, Disabled 3.1.0
Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows Развертывание Dependency Agent для виртуальных машин Windows, если образ виртуальной машины находится в заданном списке, а агент не установлен. DeployIfNotExists, Disabled 3.1.0
Развертывание: настройка параметров диагностики в рабочей области Log Analytics, которые должны быть включены на управляемом модуле HSM для Azure Key Vault Развертывает параметры диагностики управляемого модуля HSM для Azure Key Vault для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении управляемого модуля HSM для Azure Key Vault, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Развертывание — настройка расширения Log Analytics в масштабируемых наборах виртуальных машин Windows Разверните расширение Log Analytics для масштабируемых наборов виртуальных машин Windows, если образ виртуальной машины находится в заданном списке и расширение не установлено. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее его решение — агент Azure Monitor. DeployIfNotExists, Disabled 3.1.0
Развертывание — настройка расширения Log Analytics в виртуальных машинах Windows Разверните расширение Log Analytics для виртуальных машин Windows, если образ виртуальной машины находится в заданном списке и расширение не установлено. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее его решение — агент Azure Monitor. DeployIfNotExists, Disabled 3.1.0
Развертывание Dependency Agent для масштабируемых наборов виртуальных машин Linux Развертывание Dependency Agent для Масштабируемых наборов виртуальных машин Linux, если образ виртуальной машины (ОС) есть в заданном списке и агент не установлен. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. deployIfNotExists 5.0.0
Развертывание Dependency Agent для включения в масштабируемых наборах виртуальных машин Linux с параметрами агента мониторинга Azure Разверните Dependency Agent для масштабируемых наборов виртуальных машин Linux с параметрами агента мониторинга Azure в случаях, когда образ виртуальной машины (ОС) находится в заданном списке, а агент не установлен. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. DeployIfNotExists, Disabled 3.1.1
Развертывание Dependency Agent для виртуальных машин Linux Разверните Dependency Agent для виртуальных машин Linux, если образ виртуальной машины (ОС) находится в заданном списке, а агент не установлен. deployIfNotExists 5.0.0
Развертывание Dependency Agent для включения в виртуальных машинах Linux с параметрами агента мониторинга Azure Развертывание Dependency Agent для виртуальных машин Linux в случаях, когда образ виртуальной машины (ОС) находится в заданном списке, а агент не установлен. DeployIfNotExists, Disabled 3.1.1
Развертывание Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows с параметрами агента мониторинга Azure Разверните Dependency Agent для масштабируемых наборов виртуальных машин Windows с параметрами агента мониторинга Azure в случаях, когда образ виртуальной машины находится в заданном списке, а агент не установлен. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. DeployIfNotExists, Disabled 1.2.2
Развертывание Dependency Agent для включения на виртуальных машинах Windows с параметрами агента мониторинга Azure Развертывание Dependency Agent для виртуальных машин Windows в случаях, когда образ виртуальной машины находится в заданном списке, а агент не установлен. DeployIfNotExists, Disabled 1.2.2
Развертывание параметров диагностики учетной записи пакетной службы в концентраторе событий Развертывает параметры диагностики учетной записи пакетной службы для потоковой передачи в региональный концентратор событий при создании или изменении учетной записи пакетной службы, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики учетной записи пакетной службы в рабочей области Log Analytics Развертывает параметры диагностики учетной записи пакетной службы для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении учетной записи пакетной службы, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Развертывание параметров диагностики Data Lake Analytics в концентраторе событий Развертывает параметры диагностики Data Lake Analytics для потоковой передачи в региональный концентратор событий при создании или изменении службы Data Lake Analytics, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики Data Lake Analytics в рабочей области Log Analytics Развертывает параметры диагностики Data Lake Analytics для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении службы Data Lake Analytics, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Развертывание параметров диагностики Data Lake Storage 1-го поколения в концентраторе событий Развертывает параметры диагностики Data Lake Storage 1-го поколения для потоковой передачи в региональный концентратор событий при создании или изменении службы Data Lake Storage 1-го поколения, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики Data Lake Storage 1-го поколения в рабочей области Log Analytics Развертывает параметры диагностики Data Lake Storage 1-го поколения для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении службы Data Lake Storage 1-го поколения, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Развертывание параметров диагностики концентратора событий в концентраторе событий Развертывает параметры диагностики концентратора событий для потоковой передачи в региональный концентратор событий при создании или изменении концентратора событий, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.1.0
Развертывание параметров диагностики концентратора событий в рабочей области Log Analytics Развертывает параметры диагностики концентратора событий для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении концентратора событий, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики Key Vault в рабочей области Log Analytics Развертывает параметры диагностики Key Vault для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении Key Vault, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 3.0.0
Развертывание параметров диагностики Logic Apps в концентраторе событий Развертывает параметры диагностики Logic Apps для потоковой передачи в региональный концентратор событий при создании или изменении службы Logic Apps, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики Logic Apps в рабочей области Log Analytics Развертывает параметры диагностики Logic Apps для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении службы Logic Apps, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Развертывание параметров диагностики для групп безопасности сети Эта политика обеспечивает автоматическое развертывание параметров диагностики в группах безопасности сети. Будет автоматически создана учетная запись хранения с именем "{storagePrefixParameter}{NSGLocation}". deployIfNotExists 2.0.1
Развертывание параметров диагностики служб поиска в концентраторе событий Развертывает параметры диагностики служб поиска для потоковой передачи в региональный концентратор событий при создании или изменении служб поиска, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики служб поиска в рабочей области Log Analytics Развертывает параметры диагностики служб поиска для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении служб поиска, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Развертывание параметров диагностики служебной шины в концентраторе событий Развертывает параметры диагностики служебной шины для потоковой передачи в региональный концентратор событий при создании или изменении служебной шины, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики служебной шины в рабочей области Log Analytics Развертывает параметры диагностики служебной шины для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении служебной шины, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.1.0
Развертывание параметров диагностики Stream Analytics в концентраторе событий Развертывает параметры диагностики Stream Analytics для потоковой передачи в региональный концентратор событий при создании или изменении службы Stream Analytics, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 2.0.0
Развертывание параметров диагностики Stream Analytics в рабочей области Log Analytics Развертывает параметры диагностики Stream Analytics для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении службы Stream Analytics, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 1.0.0
Разверните расширение Log Analytics для масштабируемых наборов виртуальных машин Linux. См. уведомление об устаревании ниже. Разверните расширение Log Analytics для масштабируемых наборов виртуальных машин Linux, если образ виртуальной машины (ОС) находится в заданном списке и расширение не установлено. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. Уведомление об устаревании. Поддержка агента Log Analytics будет прекращена после 31 августа 2024 г. До этой даты необходимо перейти на заменяющее решение — агент Azure Monitor. deployIfNotExists 3.0.0
Разверните расширение Log Analytics для виртуальных машин Linux. См. уведомление об устаревании ниже. Разверните расширение Log Analytics для виртуальных машин Linux, если образ виртуальной машины (ОС) есть в заданном списке и расширение не установлено. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее решение — агент Azure Monitor. deployIfNotExists 3.0.0
Включение ведения журнала по группе категорий для служб Управление API (microsoft.apimanagement/service) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для служб Управление API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для служб Управление API (microsoft.apimanagement/service) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для служб Управление API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для служб Управление API (microsoft.apimanagement/service) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для служб Управление API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Конфигурация приложений (microsoft.appconfiguration/configurationstores) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Конфигурация приложений (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для Конфигурация приложений (microsoft.appconfiguration/configurationstores) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Конфигурация приложений (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Конфигурация приложений (microsoft.appconfiguration/configurationstores) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Конфигурация приложений (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Служба приложений (microsoft.web/sites) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Служба приложений (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для группы приложений (microsoft.desktopvirtualization/applicationgroups) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для группы приложений виртуального рабочего стола Azure (microsoft.desktopvirtualization/applicationgroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для приложений Аналитика (Microsoft.Аналитика/components) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для приложений Аналитика (Microsoft.Аналитика/components). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для поставщиков аттестации (microsoft.attestation/attestationproviders) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для поставщиков аттестации (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для поставщиков аттестации (microsoft.attestation/attestationproviders) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для поставщиков аттестации (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для поставщиков аттестации (microsoft.attestation/attestationproviders) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в служба хранилища учетную запись для поставщиков аттестации (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для учетных записей службы автоматизации (microsoft.automation/automationaccounts) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для учетных записей службы автоматизации (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для учетных записей службы автоматизации (microsoft.automation/automationaccounts) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для учетных записей службы автоматизации (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для учетных записей службы автоматизации (microsoft.automation/automationaccounts) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для учетных записей службы автоматизации (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для частных облаков AVS (microsoft.avs/privateclouds) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для частных облаков AVS (microsoft.avs/privatecloud). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для частных облаков AVS (microsoft.avs/privateclouds) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для частных облаков AVS (microsoft.avs/privatecloud). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для частных облаков AVS (microsoft.avs/privateclouds) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в служба хранилища учетную запись для частных облаков AVS (microsoft.avs/privatecloud). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Кэш Azure для Redis (microsoft.cache/redis) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Кэш Azure для Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для Кэш Azure для Redis (microsoft.cache/redis) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Кэш Azure для Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Кэш Azure для Redis (microsoft.cache/redis) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Кэш Azure для Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Azure Cosmos DB (microsoft.documentdb/databaseaccounts) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Azure FarmBeats (microsoft.agfoodplatform/farmbeats) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для Azure FarmBeats (microsoft.agfoodplatform/farmbeats) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Azure FarmBeats (microsoft.agfoodplatform/farmbeats) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Машинное обучение Azure (microsoft.machinelearningservices/workspaces) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Машинное обучение Azure (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для Машинное обучение Azure (microsoft.machinelearningservices/workspaces) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Машинное обучение Azure (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Машинное обучение Azure (microsoft.machinelearningservices/workspaces) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Машинное обучение Azure (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Бастионов (microsoft.network/bastionhosts) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для бастионов (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для бастионов (microsoft.network/bastionhosts) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для бастионов (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для бастионов (microsoft.network/bastionhosts) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для бастионов (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Cognitive Services (microsoft.cognitiveservices/accounts) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для Cognitive Services (microsoft.cognitiveservices/accounts) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Cognitive Services (microsoft.cognitiveservices/accounts) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для реестров контейнеров (microsoft.containerregistry/registries) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для реестров контейнеров (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для реестров контейнеров (microsoft.containerregistry/registries) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для реестров контейнеров (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для реестров контейнеров (microsoft.containerregistry/registries) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для реестров контейнеров (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для доменов сетки событий (microsoft.eventgrid/domains) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для доменов сетки событий (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для доменов сетки событий (microsoft.eventgrid/domains) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для доменов сетки событий (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для доменов сетки событий (microsoft.eventgrid/domains) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для доменов сетки событий (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для пространств имен партнеров Сетки событий (microsoft.eventgrid/partnernamespaces) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для пространств имен партнеров сетки событий (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для пространств имен партнеров Сетки событий (microsoft.eventgrid/partnernamespaces) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для пространств имен партнеров сетки событий (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для пространств имен партнеров Сетки событий (microsoft.eventgrid/partnernamespaces) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в служба хранилища учетную запись для пространств имен партнеров сетки событий (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для разделов сетки событий (microsoft.eventgrid/topics) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для разделов сетки событий (microsoft.eventgrid/темы). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группам категорий для разделов сетки событий (microsoft.eventgrid/topics) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для разделов сетки событий (microsoft.eventgrid/темы). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для разделов сетки событий (microsoft.eventgrid/topics) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в служба хранилища учетную запись для разделов сетки событий (microsoft.eventgrid/темы). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для пространств имен Центров событий (microsoft.eventhub/namespaces) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для пространств имен Центров событий (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для пространств имен Центров событий (microsoft.eventhub/namespaces) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для пространств имен Центров событий (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для пространств имен Центров событий (microsoft.eventhub/namespaces) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в служба хранилища учетную запись для пространств имен Центров событий (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для брандмауэра (microsoft.network/azurefirewalls) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для брандмауэра (microsoft.network/azurefirewalls). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группам категорий для профилей Front Door и CDN (microsoft.cdn/profiles) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для профилей Front Door и CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группам категорий для профилей Front Door и CDN (microsoft.cdn/profiles) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для профилей Front Door и CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группам категорий для профилей Front Door и CDN (microsoft.cdn/profiles) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в служба хранилища учетную запись для профилей Front Door и CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для профилей Front Door и CDN (microsoft.network/frontdoors) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для профилей Front Door и CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группам категорий для профилей Front Door и CDN (microsoft.network/frontdoors) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для профилей Front Door и CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для профилей Front Door и CDN (microsoft.network/frontdoors) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в служба хранилища учетную запись для профилей Front Door и CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для приложения-функции (microsoft.web/sites) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для приложения-функции (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для пула узлов (microsoft.desktopvirtualization/hostpools) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для пула узлов виртуального рабочего стола Azure (microsoft.desktopvirtualization/hostpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Центр Интернета вещей (microsoft.devices/iothubs) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Центр Интернета вещей (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для Центр Интернета вещей (microsoft.devices/iothubs) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Центр Интернета вещей (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Центр Интернета вещей (microsoft.devices/iothubs) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Центр Интернета вещей (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для хранилищ ключей (microsoft.keyvault/vaults) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для хранилищ ключей (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для хранилищ ключей (microsoft.keyvault/vaults) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для хранилищ ключей (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для хранилищ ключей (microsoft.keyvault/vaults) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для хранилищ ключей (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для рабочих областей Log Analytics (microsoft.operationalinsights/workspaces) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для рабочих областей Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для рабочих областей Log Analytics (microsoft.operationalinsights/workspaces) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для рабочих областей Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для рабочих областей Log Analytics (microsoft.operationalinsights/workspaces) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Служба хранилища для рабочих областей Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для управляемых HSM (microsoft.keyvault/managedhsms) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для управляемых HSM (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для управляемых HSM (microsoft.keyvault/managedhsms) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для управляемых HSM (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для управляемых HSM (microsoft.keyvault/managedhsms) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для управляемых HSM (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Cлужбы мультимедиа (microsoft.media/mediaservices) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Cлужбы мультимедиа (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для Cлужбы мультимедиа (microsoft.media/mediaservices) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Cлужбы мультимедиа (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Cлужбы мультимедиа (microsoft.media/mediaservices) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Cлужбы мультимедиа (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группам категорий для учетных записей Microsoft Purview (microsoft.purview/accounts) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для учетных записей Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группам категорий для учетных записей Microsoft Purview (microsoft.purview/accounts) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для учетных записей Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для учетных записей Microsoft Purview (microsoft.purview/accounts) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для учетных записей Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для гибкого сервера PostgreSQL (microsoft.dbforpostgresql/гибкие серверы) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для гибкого сервера База данных Azure для PostgreSQL (microsoft.dbforpostgresql/гибкие серверы). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для общедоступных IP-адресов (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для общедоступных IP-адресов (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для общедоступных IP-адресов (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для пространств имен служебная шина (microsoft.servicebus/namespaces) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для пространств имен служебная шина (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для пространств имен служебная шина (microsoft.servicebus/namespaces) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для служебная шина пространств имен (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для пространств имен служебная шина (microsoft.servicebus/namespaces) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для пространств имен служебная шина (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для SignalR (microsoft.signalrservice/signalr) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для SignalR (microsoft.signalrservice/signalr) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для SignalR (microsoft.signalrservice/signalr) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для баз данных SQL (microsoft.sql/серверов или баз данных) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для баз данных SQL (microsoft.sql/серверов или баз данных). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для баз данных SQL (microsoft.sql/серверов и баз данных) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для баз данных SQL (microsoft.sql/серверов или баз данных). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для баз данных SQL (microsoft.sql/серверов или баз данных) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для баз данных SQL (microsoft.sql/серверов или баз данных). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для управляемых экземпляров SQL (microsoft.sql/managedinstances) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для управляемых экземпляров SQL (microsoft.sql/управляемых экземпляров). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для управляемых экземпляров SQL (microsoft.sql/managedinstances) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для управляемых экземпляров SQL (microsoft.sql/managedinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для управляемых экземпляров SQL (microsoft.sql/управляемых экземпляров) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для управляемых экземпляров SQL (microsoft.sql/управляемых экземпляров). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для Видеоанализаторов (microsoft.media/videoanalyzers) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для видеоанализаторов (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группам категорий для Видеоанализаторов (microsoft.media/videoanalyzers) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Видеоанализаторов (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для видеоанализаторов (microsoft.media/videoanalyzers) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для видеоанализаторов (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для томов (microsoft.netapp/netappaccounts/capacitypools/volumes) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для томов (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для томов (microsoft.netapp/netappaccounts/capacitypools/volumes) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для томов (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для томов (microsoft.netapp/netappaccounts/capacitypools/volumes) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для томов (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для службы Web PubSub (microsoft.signalrservice/webpubsub) в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для службы Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Включение ведения журнала по группе категорий для службы Web PubSub (microsoft.signalrservice/webpubsub) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для службы Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для службы Web PubSub (microsoft.signalrservice/webpubsub) для служба хранилища Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для службы Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Включение ведения журнала по группе категорий для рабочей области (microsoft.desktopvirtualization/workspaces) в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для рабочей области Виртуального рабочего стола Azure (microsoft.desktopvirtualization/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
На компьютерах с поддержкой Linux Arc должен быть установлен агент Azure Monitor Компьютеры с поддержкой Linux Arc следует отслеживать и защищать с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет выполнять аудит компьютеров с поддержкой Arc в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 1.1.0
В масштабируемых наборах виртуальных машин Linux должен быть установлен агент Azure Monitor Для мониторинга и защиты масштабируемых наборов виртуальных машин Linux должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит масштабируемых наборов виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.1.0
На виртуальных машинах Linux должен быть установлен агент Azure Monitor Для мониторинга и защиты виртуальных машин Linux должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.1.0
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1
Рабочие области Log Analytics должны блокировать прием журналов и запросы из общедоступных сетей Повысьте безопасность рабочей области, блокируя прием журналов и отправку запросов из общедоступных сетей. Только сети, подключенные по частному каналу, смогут принимать и запрашивать журналы этой рабочей области. Узнайте больше по адресу https://aka.ms/AzMonPrivateLink#configure-log-analytics. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Рабочие области Log Analytics должны блокировать прием данных без использования Azure Active Directory. Применение проверки подлинности Azure Active Directory при приеме журналов предотвращает получение от злоумышленника непроверенных журналов, которые могли бы привести к неправильному состоянию, ложным оповещениям и сохранению неправильных журналов в системе. Deny, Audit, Disabled 1.0.0
Общедоступные IP-адреса должны иметь журналы ресурсов, включенные для защиты от атак DDoS Azure Включите журналы ресурсов для общедоступных IP-адресов в параметрах диагностики, чтобы выполнять потоковую передачу данных в рабочую область Log Analytics. Получите подробные сведения о трафике атаки и действиях, предпринятых для защиты от атак DDoS, используя уведомления, отчеты и журналы потоков. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.1
Для аудита поддерживаемых ресурсов должны быть включены журналы ресурсов Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Наличие параметра диагностики для аудита группы категорий для выбранных типов ресурсов гарантирует, что соответствующие журналы включены и записываются. Применимые типы ресурсов — это типы ресурсов, поддерживающие группу категорий аудита. AuditIfNotExists, Disabled 1.0.0
Сохраненные запросы в Azure Monitor должны быть сохранены в учетной записи хранения клиента для шифрования журналов Свяжите учетную запись хранения с рабочей областью Log Analytics, чтобы защитить сохраненные запросы с помощью шифрования учетной записи хранения. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к сохраненным запросам в Azure Monitor. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
Устаревшее расширение Log Analytics не должно быть установлено на серверах Linux с поддержкой Azure Arc. Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на серверах Linux с поддержкой Azure Arc. Подробнее: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
Устаревшее расширение Log Analytics не должно быть установлено на серверах Windows с поддержкой Azure Arc. Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на серверах Windows с поддержкой Azure Arc. Подробнее: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
Устаревшее расширение Log Analytics не должно быть установлено в масштабируемых наборах виртуальных машин Linux. Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента в масштабируемых наборах виртуальных машин Linux. Подробнее: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
Устаревшее расширение Log Analytics не должно быть установлено на виртуальных машинах Linux Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на виртуальных машинах Linux. Подробнее: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
Устаревшее расширение Log Analytics не должно быть установлено на масштабируемых наборах виртуальных машин. Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента в масштабируемых наборах виртуальных машин Windows. Подробнее: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
Устаревшее расширение Log Analytics не должно быть установлено на виртуальных машинах Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на виртуальных машинах Windows. Подробнее: https://aka.ms/migratetoAMA Deny, Audit, Disabled 1.0.0
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1
Виртуальные машины должны быть подключены к указанной рабочей области Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. AuditIfNotExists, Disabled 1.1.0
На виртуальных машинах должно быть установлено расширение Log Analytics Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1
На компьютерах с поддержкой Windows Arc должен быть установлен агент Azure Monitor Компьютеры с поддержкой Windows Arc следует отслеживать и защищать с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Компьютеры с поддержкой Windows Arc в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 1.2.0
В масштабируемых наборах виртуальных машин Windows должен быть установлен агент Azure Monitor Для мониторинга и защиты масштабируемых наборов виртуальных машин Windows должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Масштабируемые наборы виртуальных машин с поддерживаемыми ОС и в поддерживаемых регионах отслеживаются на наличие развернутого агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.2.0
На виртуальных машинах Windows должен быть установлен агент Azure Monitor Для мониторинга и защиты виртуальных машин Windows должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Виртуальные машины Windows с поддерживаемыми ОС и в поддерживаемых регионах отслеживаются на наличие развернутого агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.2.0
Книги следует сохранять в учетных записях хранения, которыми вы управляете Если вы используете собственное хранилище (BYOS), ваши книги отправляются в учетную запись хранения, которой вы управляете. Это означает, что вы управляете политикой шифрования неактивных объектов, политикой управления жизненным циклом и доступом к сети. При этом вы несете ответственность за затраты, связанные с этой учетной записью хранения. Дополнительные сведения: https://aka.ms/workbooksByos deny, Deny, audit, Audit, disabled, Disabled 1.1.0

Network

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
[Предварительная версия]. Реестр контейнеров должен использовать конечную точку службы для виртуальной сети Эта политика выполняет аудит всех реестров контейнеров, не настроенных для использования конечной точки службы виртуальной сети. Audit, Disabled 1.0.0 (предварительная версия)
Настраиваемая политика IPsec/IKE должна применяться ко всем подключениям к шлюзу виртуальной сети Azure Эта политика гарантирует, что все подключения шлюза виртуальной сети Azure используют настраиваемую политику IPsec/IKE. Поддерживаемые алгоритмы и сила ключа — https://aka.ms/AA62kb0 Audit, Disabled 1.0.0
Все ресурсы журнала потоков должны быть включены в состоянии Выполните аудит ресурсов журнала потоков, чтобы проверить, включено ли состояние журнала потоков. Включение журналов потоков позволяет регистрировать сведения о потоке IP-трафика. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.0.1
Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети Используйте конечные точки службы для виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей виртуальной сети Azure. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Настройка журналов потоков аудита для каждой виртуальной сети Аудит виртуальной сети, чтобы проверить, настроены ли журналы потоков. Включение журналов потоков позволяет регистрировать сведения о IP-трафике, потокуемом через виртуальную сеть. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.0.1
Шлюз приложений Azure следует развернуть с помощью Azure WAF Требуется, чтобы ресурсы Шлюз приложений Azure развертывались с помощью Azure WAF. Audit, Deny, Disabled 1.0.0
Политика брандмауэра Azure должна включить проверку TLS в правилах приложений Включение проверки TLS рекомендуется для всех правил приложений, чтобы обнаруживать, предупреждать и устранять вредоносную активность в HTTPS. Дополнительные сведения о проверке TLS с помощью Брандмауэра Azure см. в статье https://aka.ms/fw-tlsinspect. Audit, Deny, Disabled 1.0.0
Брандмауэр Azure Premium должен настроить допустимый промежуточный сертификат, чтобы включить проверку TLS Настройте допустимый промежуточный сертификат и включите проверку TLS Брандмауэр Azure уровня "Премиум" для обнаружения, оповещения и устранения вредоносных действий в HTTPS. Дополнительные сведения о проверке TLS с помощью Брандмауэра Azure см. в статье https://aka.ms/fw-tlsinspect. Audit, Deny, Disabled 1.0.0
Шлюзы VPN Azure не должны использовать SKU уровня "Базовый" Эта политика гарантирует, что шлюзы VPN не будут использовать SKU уровня "Базовый". Audit, Disabled 1.0.0
Брандмауэр веб-приложений В Шлюз приложений Azure Azure Шлюз приложений Azure должна быть включена проверка тела запроса Убедитесь, что Брандмауэр веб-приложений, связанные с Шлюз приложений Azure, включены проверки тела запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. Audit, Deny, Disabled 1.0.0
Служба Azure Брандмауэр веб-приложений в Azure Front Door должна включать проверку текста запроса Убедитесь, что Брандмауэр веб-приложений, связанные с Azure Front Door, включили проверку тела запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Защита ботов должна быть включена для Шлюз приложений Azure WAF Эта политика гарантирует, что защита бота включена во всех политиках Шлюз приложений Azure Брандмауэр веб-приложений (WAF) Audit, Deny, Disabled 1.0.0
Защита ботов должна быть включена для WAF Azure Front Door Эта политика гарантирует, что защита бота включена во всех политиках azure Front Door Брандмауэр веб-приложений (WAF) Audit, Deny, Disabled 1.0.0
Список обходов системы обнаружения и предотвращения вторжений (IDPS) должен быть пустым в политике брандмауэра Premium Список обходов системы обнаружения и предотвращения вторжений (IDPS) позволяет не фильтровать трафик ни на один из IP-адресов, диапазонов и подсетей, указанных в списке обходов. Однако включение поставщиков удостоверений выполняется повторно для всех потоков трафика для более эффективной идентификации известных угроз. Дополнительные сведения о подписях системы обнаружения и предотвращения вторжений (IDPS) с помощью Брандмауэр Azure Premium см. в статье .https://aka.ms/fw-idps-signature Audit, Deny, Disabled 1.0.0
Настройка параметров диагностики для групп безопасности сети Azure в рабочей области "Аналитика журналов" Разверните параметры диагностики в группах безопасности сети Azure для потоковой передачи журналов ресурсов в рабочую область Log Analytics. DeployIfNotExists, Disabled 1.0.0
Настройка групп безопасности сети для включения аналитики трафика Аналитику трафика можно включить для всех групп безопасности сети, размещенных в определенном регионе, с параметрами, предоставленными во время создания политики. Если аналитика трафика уже включена, политика не перезаписывает ее параметры. Журналы потоков также включены для групп безопасности сети без аналитики трафика. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.2.0
Настройка групп безопасности сети для использования конкретной рабочей области, учетной записи хранения и политики хранения потоков для аналитики трафика Если аналитика трафика уже включена, политика перезапишет существующие параметры теми параметрами, которые были предоставлены при создании политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.2.0
Настройка виртуальной сети для включения журнала потоков и аналитики трафика Аналитика трафика и журналы потоков можно включить для всех виртуальных сетей, размещенных в определенном регионе, с параметрами, указанными во время создания политики. Эта политика не перезаписывает текущий параметр для виртуальных сетей, которые уже имеют эту функцию. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.1.1
Настройка виртуальных сетей для использования конкретной рабочей области, учетной записи хранения и интервала хранения для журналов потоков и аналитики трафика Если виртуальная сеть уже включена аналитика трафика, эта политика перезаписывает существующие параметры с указанными во время создания политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.1.1
Служба Cosmos DB должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех Cosmos DB, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Развертывание ресурса журнала потоков в целевой группе безопасности сети Настраивает журнал потоков для определенной группы безопасности сети. Это позволяет регистрировать сведения об IP-трафике, передаваемом через группу безопасности сети. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. deployIfNotExists 1.1.0
Развертывание ресурса журнала потоков с целевой виртуальной сетью Настраивает журнал потоков для конкретной виртуальной сети. Он позволит регистрировать сведения о IP-трафике, проходящим через виртуальную сеть. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. DeployIfNotExists, Disabled 1.1.1
Развертывание наблюдателя за сетями при создании виртуальных сетей Эта политика создает ресурс наблюдателя за сетями в регионах с виртуальными сетями. Необходимо обеспечить наличие группы ресурсов с именем networkWatcherRG, которая будет использоваться для развертывания экземпляров наблюдателя за сетями. Развернуть, если не существует 1.0.0
Включение правила ограничения скорости для защиты от атак DDoS на WAF Azure Front Door Правило ограничения скорости Брандмауэра веб-приложений Azure (WAF) для Azure Front Door управляет разрешенным количеством запросов от определенного IP-адреса клиента к приложению в течение длительности ограничения скорости. Audit, Deny, Disabled 1.0.0
Концентратор событий должен использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех концентраторов событий, не настроенных на использование конечной точки службы виртуальной сети. AuditIfNotExists, Disabled 1.0.0
Политика брандмауэра Premium должна включить все правила подписи IDPS для мониторинга всех входящих и исходящих потоков трафика. Включение всех правил подписи системы обнаружения и предотвращения вторжений (IDPS) повторно выполняется для более эффективной идентификации известных угроз в потоках трафика. Дополнительные сведения о подписях системы обнаружения и предотвращения вторжений (IDPS) с помощью Брандмауэр Azure Premium см. в статье .https://aka.ms/fw-idps-signature Audit, Deny, Disabled 1.0.0
Политика брандмауэра Premium должна включать систему обнаружения и предотвращения вторжений (IDPS) Включение системы обнаружения и предотвращения вторжений (IDPS) позволяет отслеживать сеть для вредоносных действий, записывать сведения об этом действии, сообщать об этом и при необходимости пытаться заблокировать его. Дополнительные сведения о системе обнаружения и предотвращения вторжений (IDPS) с помощью Брандмауэр Azure Premium см. в статьеhttps://aka.ms/fw-idps Audit, Deny, Disabled 1.0.0
Журналы потоков должны быть настроены для каждой группы безопасности сети Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.1.0
Подсети шлюза не следует настраивать с использованием группы безопасности сети. Эта политика запрещает настройку подсети шлюза с помощью группы безопасности сети. Назначение группы безопасности сети для подсети шлюза приведет к тому, что шлюз перестанет работать. запретить 1.0.0
Служба Key Vault должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех Key Vault, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Миграция WAF из WAF Config в политику WAF на Шлюз приложений Если у вас есть конфигурация WAF вместо политики WAF, может потребоваться перейти к новой политике WAF. В дальнейшем политика брандмауэра будет поддерживать параметры политики WAF, управляемые наборы правил, исключения и отключенные группы правил. Audit, Deny, Disabled 1.0.0
Сетевые интерфейсы должны отключить перенаправление IP-адресов Эта политика запрещает сетевые интерфейсы с включенным IP-перенаправлением. Параметр "IP-перенаправление" отключает проверку источника и назначения для сетевого интерфейса, выполняемую Azure. Эта команда должна быть проверена командой безопасности сети. запретить 1.0.0
Сетевые интерфейсы не должны иметь общедоступных IP-адресов Эта политика запрещает сетевые интерфейсы, настроенные с помощью любого общедоступного IP-адреса. Общедоступные IP-адреса позволяют интернет-ресурсам устанавливать входящие подключения к ресурсам Azure, а ресурсам Azure — исходящие подключения к Интернету. Эта команда должна быть проверена командой безопасности сети. запретить 1.0.0
В журналах потоков Наблюдателя за сетями должна быть включена аналитика трафика Аналитика трафика анализирует журналы потоков для предоставления аналитических сведений о потоке трафика в облаке Azure. Ее можно использовать для визуализации сетевых операций в подписках Azure и выявления активных зон, выявления угроз безопасности, анализа тенденций в потоке трафика, определения проблем с сетью и т. д. Audit, Disabled 1.0.1
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Служба SQL Server должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех SQL Server, не настроенных на использование конечной точки службы виртуальной сети. AuditIfNotExists, Disabled 1.0.0
Учетная запись хранения должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Подписка должна настроить Брандмауэр Azure Premium, чтобы обеспечить дополнительный уровень защиты Брандмауэр Azure Premium обеспечивает расширенную защиту от угроз, которая соответствует потребностям высокочувствительных и регулируемых сред. Разверните Брандмауэр Azure Premium в подписке и убедитесь, что весь трафик службы защищен Брандмауэр Azure Premium. Дополнительные сведения о Брандмауэр Azure Premium см. в статьеhttps://aka.ms/fw-premium AuditIfNotExists, Disabled 1.0.0
Виртуальные машины должны быть подключены к утвержденной виртуальной сети Эта политика используется для аудита любой виртуальной машины, подключенной к виртуальной сети, которая не утверждена. Audit, Deny, Disabled 1.0.0
Виртуальные сети должны быть защищены защитой от атак DDoS Azure Защита виртуальных сетей от атак томных и протоколов с помощью защиты от атак DDoS Azure. Дополнительные сведения см. на странице https://aka.ms/ddosprotectiondocs. Modify, Audit, Disabled 1.0.1
Виртуальным сетям следует использовать указанный шлюз виртуальной сети Эта политика используется для аудита любой виртуальной сети, если маршрут по умолчанию не указывает на конкретный шлюз виртуальной сети. AuditIfNotExists, Disabled 1.0.0
VPN-шлюзы должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть" Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзам потребуются для проверки подлинности только удостоверения Azure Active Directory. Дополнительные сведения о проверке подлинности Azure AD см. в статье, доступной по адресу https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. Audit, Deny, Disabled 1.0.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Брандмауэр веб-приложений (WAF) должен включить все правила брандмауэра для Шлюза приложений Включение всех правил Брандмауэра веб-приложений (WAF) повышает безопасность приложений и защищает веб-приложения от распространенных уязвимостей. Дополнительные сведения о Брандмауэре веб-приложений для Шлюза приложений см. на странице https://aka.ms/waf-ag Audit, Deny, Disabled 1.0.1
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. Audit, Deny, Disabled 1.0.0

Портал

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Общедоступные панели мониторинга не должны иметь плитки с поддержкой markdown, содержащие встроенное содержимое Запрет на создание общедоступной панели мониторинга с плитками с поддержкой Markdown, которые содержат встроенное содержимое, и требование к сохранению содержимого в виде файла Markdown, развернутого на сервере Интернета. Используя для плитки Markdown встроенное содержимое, вы лишитесь возможности управлять шифрованием содержимого. Однако вы сможете выполнить шифрование, двукратное шифрование и даже использовать собственные ключи, настроив собственное хранилище. При включении этой политики пользователи смогут использовать только предварительную версию REST API общедоступных панелей мониторинга за 01.09.2020 или более позднюю версию. Audit, Deny, Disabled 1.0.0

Устойчивость

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]: служба Управление API должна быть избыточной по зонам Управление API службу можно настроить для избыточности зоны или нет. Служба Управление API является избыточной по зонам, если его имя SKU — Premium, и в массиве зон имеется по крайней мере две записи. Эта политика определяет, Управление API службы не имеют избыточности, необходимой для того, чтобы выдержать сбой зоны. Audit, Deny, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]: Служба приложений планы должны быть избыточными зонами Служба приложений Планы можно настроить как избыточные зоны или нет. Если для плана Служба приложений задано значение false, свойство zoneRedundant не настроено для избыточности зоны. Эта политика определяет и применяет конфигурацию избыточности зоны для планов Служба приложений. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Шлюз приложений должны быть устойчивыми к зонам Шлюз приложений можно настроить для выравнивания между зонами, избыточности между зонами или ни для одного из этих компонентов. Шлюз приложений smthat havenexactly одну запись в массиве зон считаются выровненными по зонам. В отличие от этого, приложения Gatmways с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: служба поиска ИИ Azure должна быть избыточной по зонам Служба поиска ИИ Azure может быть настроена как избыточность в зонах или нет. Зоны доступности используются при добавлении двух или более реплика в службу поиска. Каждая реплика помещается в другую зону доступности в пределах региона. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: Кэш Azure для Redis Enterprise и Flash должны быть избыточными по зонам Кэш Azure для Redis Enterprise и Flash можно настроить для избыточности зоны или нет. Кэш Azure для Redis экземпляры Enterprise и Flash с менее чем 3 записями в массиве зон не являются избыточными по зонам. Эта политика определяет Кэш Azure для Redis экземплярах Enterprise и Flash, не имеющих избыточности, необходимой для того, чтобы выдержать сбой зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Кэш Azure для Redis должен быть избыточным по зонам Кэш Azure для Redis можно настроить для избыточности зоны или нет. Кэш Azure для Redis экземпляры с менее чем 2 записями в массиве зон не являются избыточными по зонам. Эта политика идентифицирует Кэш Azure для Redis экземпляры, не нуждающиеся в избыточности, необходимой для того, чтобы выдержать сбой зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: кластеры Обозреватель Данных Azure должны быть избыточными по зонам Кластеры Обозреватель данных Azure можно настроить как избыточные в зонах или нет. Кластер данных Azure Обозреватель считается избыточным по зонам, если он содержит по крайней мере две записи в массиве зон. Эта политика помогает гарантировать, что кластеры данных Azure Обозреватель являются избыточными по зонам. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: гибкий сервер База данных Azure для MySQL должен быть устойчивым к зоне База данных Azure для MySQL гибкий сервер можно настроить для выравнивания между зонами, избыточности между зонами или ни для одного из этих серверов. Сервер MySQL с резервным сервером, выбранным в той же зоне для обеспечения высокой доступности, считается выровненным по зонам. В отличие от этого, сервер MySQL с резервным сервером, выбранным для обеспечения высокой доступности, распознается как избыточное по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: гибкий сервер База данных Azure для PostgreSQL должен быть устойчивым к зонам База данных Azure для PostgreSQL гибкий сервер можно настроить для выравнивания по зонам, избыточности между зонами или ни одного из этих серверов. Сервер PostgreSQL с резервным сервером, выбранным в той же зоне для обеспечения высокой доступности, считается выровненным по зонам. В отличие от этого, сервер PostgreSQL с резервным сервером, выбранным для обеспечения высокой доступности, распознается как избыточный по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Azure HDInsight должен быть выровнен по зонам Azure HDInsight можно настроить для выравнивания зоны или нет. Azure HDInsight с одной записью в массиве зон считается выровненной по зонам. Эта политика гарантирует, что кластер Azure HDInsight настроен для работы в пределах одной зоны доступности. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: Служба Azure Kubernetes управляемые кластеры должны быть избыточными по зонам. Служба Azure Kubernetes управляемые кластеры можно настроить как избыточные зоны или нет. Политика проверка пулы узлов в кластере и гарантирует, что для всех пулов узлов заданы зоны avaialbilty. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Управляемая Grafana Azure должна быть избыточной по зонам Управляемый Grafana Azure можно настроить для избыточности зоны или нет. Экземпляр Управляемой Grafana Azure — "Избыточность зоны", это свойство zoneRedundancy имеет значение "Включено". Применение этой политики помогает обеспечить правильную настройку Управляемой Grafana Azure для обеспечения устойчивости зоны, что снижает риск простоя во время сбоя зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: резервное копирование и Site Recovery должны быть избыточными по зонам Резервное копирование и Site Recovery можно настроить для избыточности зоны или нет. Backup и Site Recovery являются избыточными по зонам, если для свойства "StandardTier служба хранилища Redundancy" задано значение ZoneRedundant. Применение этой политики помогает обеспечить соответствующую настройку резервного копирования и Site Recovery для обеспечения устойчивости зоны, что снижает риск простоя во время сбоя зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: резервные хранилища должны быть избыточными по зонам Резервные хранилища можно настроить как избыточные зоны или нет. Резервные хранилища являются избыточными по зонам, если для параметров хранилища задано значение ZoneRedundant, и они считаются устойчивыми. Геоизбыточные или локальные избыточные хранилища резервных копий не считаются устойчивыми. Применение этой политики помогает обеспечить соответствующую настройку резервных хранилищ для обеспечения устойчивости зоны, что снижает риск простоя во время сбоя зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: приложение-контейнер должно быть избыточным по зонам Приложение-контейнер может быть настроено как избыточное по зонам или нет. Приложение-контейнер является избыточным по зонам, если свойство ZoneRedundant управляемой среды имеет значение true. Эта политика определяет, что приложению-контейнеру не хватает избыточности, необходимой для того, чтобы выдержать сбой зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Экземпляры контейнеров должна быть выровнена по зонам Экземпляры контейнеров можно настроить для выравнивания зоны или нет. Они считаются выровненными зонами, если у них есть только одна запись в массиве зон. Эта политика гарантирует, что они настроены для работы в пределах одной зоны доступности. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: реестр контейнеров должен быть избыточным по зонам Реестр контейнеров можно настроить как избыточный в зоне или нет. Если свойству zoneRedundancy для реестра контейнеров присвоено значение "Отключено", это означает, что реестр не является избыточным по зонам. Применение этой политики помогает обеспечить правильную настройку реестра контейнеров для обеспечения устойчивости зоны, что снижает риск простоя во время сбоев в зонах. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: учетные записи базы данных Cosmos должны быть избыточными по зонам Учетные записи базы данных Cosmos можно настроить как избыточные по зонам или нет. Если параметр enableMultipleWriteLocations имеет значение true, все расположения должны иметь свойство IsZoneRedundant, и оно должно иметь значение true. Если для свойства enableMultipleWriteLocations задано значение false, то основное расположение ("failoverPriority" имеет значение 0) должно иметь свойство isZoneRedundant, и оно должно иметь значение true. Применение этой политики гарантирует, что учетные записи базы данных Cosmos правильно настроены для избыточности зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: Центры событий должны быть избыточными по зонам Центры событий могут быть настроены как избыточные по зонам или нет. Центры событий являются избыточными по зонам, если для свойства zoneRedundant задано значение true. Применение этой политики помогает обеспечить соответствующую настройку центров событий для обеспечения устойчивости зоны, что снижает риск простоя во время сбоя зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: брандмауэры должны быть устойчивыми к зонам Брандмауэры можно настроить для выравнивания между зонами, избыточности между зонами или ни одного из этих брандмауэров. Брандмауэры, имеющие ровно одну запись в массиве зон, считаются выровненными по зонам. В отличие от этого, брандмауэры с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: подсистемы балансировки нагрузки должны быть устойчивыми к зонам Подсистемы балансировки нагрузки с номером SKU, отличном от базового, наследуют устойчивость общедоступных IP-адресов в интерфейсе. В сочетании с политикой "Общедоступные IP-адреса должны быть устойчивые к зонам", этот подход обеспечивает необходимую избыточность для обеспечения простоя зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Управляемые диски должна быть устойчивой в зоне Управляемые диски можно настроить как выравнивание между зонами, избыточное по зонам, так и ни одно из этих компонентов. Управляемые диски с точно одной назначением зоны выровнены по зонам. Управляемые диски с именем SKU, который заканчивается в ZRS, — это избыточность зоны. Эта политика помогает выявлять и применять эти конфигурации устойчивости для Управляемые диски. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: шлюз NAT должен быть выровнен по зонам Шлюз NAT можно настроить для выравнивания зоны или нет. Шлюз NAT, имеющий ровно одну запись в массиве зон, считается выравниванием по зонам. Эта политика гарантирует, что шлюз NAT настроен для работы в одной зоне доступности. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: общедоступные IP-адреса должны быть устойчивыми к зонам. Общедоступные IP-адреса можно настроить для выравнивания зоны, избыточности между зонами или ни одного из этих адресов. Общедоступные IP-адреса, которые являются региональными, с ровно одной записью в массиве зон считаются выровненными по зонам. В отличие от этого, общедоступные IP-адреса, которые являются региональными, с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. Audit, Deny, Disabled 1.1.0 (предварительная версия)
[Предварительная версия]: префиксы общедоступного IP-адреса должны быть устойчивыми к зонам. Префиксы общедоступного IP-адреса можно настроить для выравнивания между зонами, избыточности между зонами или ни одного из этих префиксов. Префиксы общедоступного IP-адреса, имеющие ровно одну запись в массиве зон, считаются выровненными по зонам. В отличие от этого, префиксы общедоступного IP-адреса с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: служебная шина должен быть избыточным по зонам служебная шина можно настроить для избыточности зоны или нет. Если для свойства zoneRedundant задано значение false для служебная шина, это означает, что оно не настроено для избыточности зоны. Эта политика определяет и применяет конфигурацию избыточности зоны для служебная шина экземпляров. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: кластеры Service Fabric должны быть избыточными по зонам Кластеры Service Fabric можно настроить для избыточности зоны или нет. Кластеры Servicefabric, nodeType которых не имеют значения multipleAvailabilityZones, равным true, не являются избыточными по зонам. Эта политика определяет кластеры Servicefabric, которые не имеют избыточности, необходимой для того, чтобы выдержать сбой зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: База данных SQL должны быть избыточными по зонам База данных SQL можно настроить для избыточности зоны или нет. Базы данных с параметром zoneRedundant, равным false, не настроены для избыточности зоны. Эта политика помогает определить базы данных SQL, которые нуждаются в конфигурации избыточности зоны для повышения доступности и устойчивости в Azure. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: пулы эластичных баз данных SQL должны быть избыточными по зонам Пулы эластичных баз данных SQL можно настроить как избыточные зоны или нет. Пулы эластичных баз данных SQL являются избыточными по зонам, если для свойства zoneRedundant задано значение true. Применение этой политики помогает обеспечить соответствующую настройку центров событий для обеспечения устойчивости зоны, что снижает риск простоя во время сбоя зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Управляемый экземпляр SQL должны быть избыточными по зонам Управляемый экземпляр SQL можно настроить для избыточности зоны или нет. Экземпляры с параметром zoneRedundant, равным false, не настроены для избыточности зоны. Эта политика помогает определить управляемые экземпляры SQL, которые нуждаются в конфигурации избыточности зоны для повышения доступности и устойчивости в Azure. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: служба хранилища учетные записи должны быть избыточными по зонам служба хранилища учетные записи можно настроить как избыточные зоны или нет. Если имя SKU учетной записи служба хранилища не заканчивается именем ZRS или его типом является "служба хранилища", он не является избыточным по зонам. Эта политика гарантирует, что учетные записи служба хранилища используют конфигурацию избыточности между зонами. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: Масштабируемые наборы виртуальных машин должна быть устойчивой в зоне Масштабируемые наборы виртуальных машин можно настроить как выравнивание между зонами, избыточность между зонами, так и ни одно из этих компонентов. Масштабируемые наборы виртуальных машин, которые имеют ровно одну запись в массиве зон, считаются выровненными по зонам. В отличие от этого, Масштабируемые наборы виртуальных машин с 3 или более записями в массиве зон и емкостью не менее 3 распознаются как избыточное по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]: Виртуальные машины должны быть выровнены по зонам Виртуальные машины можно настроить для выравнивания зоны или нет. Они считаются выровненными зонами, если у них есть только одна запись в массиве зон. Эта политика гарантирует, что они настроены для работы в пределах одной зоны доступности. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[предварительная версия]: шлюзы виртуальной сети должны быть избыточными по зонам. Шлюзы виртуальной сети можно настроить для избыточности зоны или нет. Шлюзы виртуальной сети, имя или уровень SKU которых не заканчиваются az, не являются избыточными по зонам. Эта политика определяет шлюзы виртуальной сети, которые не имеют избыточности, необходимой для того, чтобы выдержать сбой зоны. Audit, Deny, Disabled 1.0.0 (предварительная версия)
Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Для служб Когнитивного поиска Azure должны быть отключены локальные способы проверки подлинности Отключение способов локальной проверки подлинности повышает безопасность, гарантируя, что службы Когнитивного поиска Azure требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/rbac. Учтите, что, хотя параметр отключения локальной проверки подлинности все еще находится на этапе предварительной версии, эффект запрета для этой политики может привести к ограниченной функциональности портала Когнитивного поиска Azure, так как некоторые функции портала используют API-интерфейс GA, который не поддерживает этот параметр. Audit, Deny, Disabled 1.0.0
Службы "Когнитивный поиск Azure" должны использовать управляемые клиентом ключи для шифрования неактивных данных Включение шифрования неактивных данных с помощью управляемого клиентом ключа в службах Когнитивного поиска Azure обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов, которым нужно соблюдать нормативные требования, чтобы управлять ключами шифрования данных с помощью хранилища ключей. Audit, Deny, Disabled 1.0.0
Службы Когнитивного поиска Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Настройка служб Когнитивного поиска Azure для отключения локальной проверки подлинности Отключите способы локальной проверки подлинности, чтобы службы Когнитивного поиска Azure требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/rbac. Modify, Disabled 1.0.0
Настройка служб Когнитивного поиска Azure для отключения доступа к общедоступной сети Отключите доступ к общедоступной сети для своей службы "Когнитивный поиск Azure", чтобы она была недоступна через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Modify, Disabled 1.0.0
Настройка служб Когнитивного поиска Azure для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в службу "Когнитивный поиск Azure". См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Настройка службы Когнитивного поиска Azure с частными конечными точками Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки со службой Когнитивного поиска Azure, можно снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Disabled 1.0.0
В службах "Поиск" должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0

Центр безопасности

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Агент безопасности Azure должен быть установлен на компьютерах Linux с поддержкой Arc Установите агент безопасности Azure на компьютерах Linux с поддержкой Arc, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Агент безопасности Azure должен быть установлен в масштабируемых наборах виртуальных машин Linux Установите агент безопасности Azure в масштабируемых наборах виртуальных машин Linux, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Агент безопасности Azure должен быть установлен на виртуальных машинах Linux Установите агент безопасности Azure на виртуальных машинах Linux, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Агент безопасности Azure должен быть установлен на компьютерах Windows с поддержкой Arc Установите агент безопасности Azure на компьютерах Windows с поддержкой Arc, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Агент безопасности Azure должен быть установлен в масштабируемых наборах виртуальных машин Windows Установите агент безопасности Azure в масштабируемых наборах виртуальных машин Windows, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. AuditIfNotExists, Disabled 2.1.0-preview
[Предварительная версия]. Агент безопасности Azure должен быть установлен на виртуальных машинах Windows Установите агент безопасности Azure на виртуальных машинах Windows, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. AuditIfNotExists, Disabled 2.1.0-preview
[Предварительная версия]. На виртуальной машине Linux с поддержкой Arc должно быть установлено расширение ChangeTracking Установите расширение ChangeTracking на компьютерах Linux с поддержкой Arc, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. На виртуальной машине Linux должно быть установлено расширение "Отслеживание изменений" Установите расширение "Отслеживание изменений" на виртуальных машинах Linux, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. В масштабируемых наборах виртуальных машин Linux должно быть установлено расширение "Отслеживание изменений" Установите расширение "Отслеживание изменений" в масштабируемых наборах виртуальных машин Linux, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. На компьютере Windows с поддержкой Arc должно быть установлено расширение ChangeTracking Установите расширение ChangeTracking на виртуальных машинах Windows с поддержкой Arc, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. На виртуальной машине Windows должно быть установлено расширение "Отслеживание изменений" Установите расширение "Отслеживание изменений" на виртуальных машинах Windows, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. В масштабируемых наборах виртуальных машин Windows должно быть установлено расширение "Отслеживание изменений" Установите расширение "Отслеживание изменений" в масштабируемых наборах виртуальных машин Windows, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройка агента Azure Defender для SQL на виртуальной машине Настройка компьютеров Windows для автоматической установки агента Azure Defender для SQL, в котором установлен агент Azure Monitor. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, где находится компьютер. Целевые виртуальные машины должны находиться в поддерживаемом расположении. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройте расширение ChangeTracking для компьютеров Linux с поддержкой Arc Настройте компьютеры Linux с поддержкой Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для масштабируемых наборов виртуальных машин Linux Настройте масштабируемые наборы виртуальных машин Linux для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для виртуальных машин Linux Настройте виртуальные машины Linux для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройте расширение ChangeTracking для виртуальных машин Windows с поддержкой Arc Настройте виртуальные машины Windows с поддержкой Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для масштабируемых наборов виртуальных машин Windows Настройте масштабируемые наборы виртуальных машин Windows для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для виртуальных машин Windows Настройте виртуальные машины Windows для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройте соответствующие компьютеры Linux с поддержкой Arc для автоматической установки агента безопасности Azure Настройте соответствующие компьютеры Linux с поддержкой Arc для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые компьютеры Linux с поддержкой Arc должны находиться в соответствующем расположении. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки агента безопасности Azure Настройте соответствующие масштабируемые наборы виртуальных машин Linux для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки расширения аттестации гостей Настройка автоматической установки расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. DeployIfNotExists, Disabled 6.1.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматического включения безопасной загрузки Настройка поддерживаемых виртуальных машинах Linux позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. DeployIfNotExists, Disabled 5.0.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки агента безопасности Azure Настройка автоматической установки агента безопасности Azure на поддерживаемых виртуальных машинах Linux. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. DeployIfNotExists, Disabled 7.0.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки расширения аттестации гостей Настройка автоматической установки расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. DeployIfNotExists, Disabled 7.1.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин для автоматического включения vTPM Настройка поддерживаемых виртуальных машин для автоматического включения vTPM. Он будет использоваться для измеряемой загрузки и других функций безопасности ОС, которым необходим модуль TPM. После включения vTPM можно использовать для проверки целостности загрузки. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройте автоматическую установку агента безопасности Azure на соответствующих компьютерах Windows с поддержкой Arc Настройте соответствующие компьютеры Windows с поддержкой Arc для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые компьютеры Windows с поддержкой Arc должны находиться в соответствующем расположении. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка поддерживаемых компьютеров Windows для автоматической установки агента безопасности Azure Настройка автоматической установки агента безопасности Azure на поддерживаемых компьютерах с Windows. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. DeployIfNotExists, Disabled 5.1.0-preview
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Windows для автоматической установки агента безопасности Azure Настройте соответствующие масштабируемые наборы виртуальных машин Windows для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые масштабируемые наборы виртуальных машин Windows должны находиться в соответствующем расположении. DeployIfNotExists, Disabled 2.1.0-preview
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Windows для автоматической установки расширения аттестации гостей Настройка автоматической установки расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Windows, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. DeployIfNotExists, Disabled 4.1.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Windows для автоматического включения безопасной загрузки Настройка поддерживаемых виртуальных машинах Windows позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. DeployIfNotExists, Disabled 3.0.0 (предварительная версия)
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Windows для автоматической установки расширения аттестации гостей Настройка автоматической установки расширения аттестации гостей на поддерживаемых виртуальных машинах Windows, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. DeployIfNotExists, Disabled 5.1.0-preview
[Предварительная версия]. Настройка виртуальных машин, созданных с помощью образов из общей коллекции образов, для установки расширения аттестации гостей Настройте виртуальные машины, созданные с помощью образов из общей коллекции образов, для автоматической установки расширения аттестации гостей, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. DeployIfNotExists, Disabled 2.0.0-preview
[Предварительная версия]. Настройка масштабируемых наборов виртуальных машин, созданных с помощью образов из общей коллекции образов, для установки расширения аттестации гостей Настройте масштабируемые наборы виртуальных машин, созданные с помощью образов из общей коллекции образов, для автоматической установки расширения аттестации гостей, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. DeployIfNotExists, Disabled 2.1.0-preview
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux Развертывает агент Microsoft Defender для конечной точки на гибридных компьютерах Linux. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Linux Развертывает агент Microsoft Defender для конечной точки в соответствующих образах виртуальных машин Linux. DeployIfNotExists, AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на компьютерах Windows с поддержкой Azure Arc Развертывает агент Microsoft Defender для конечной точки на компьютерах Windows с поддержкой Azure Arc. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Windows Развертывает Microsoft Defender для конечной точки в соответствующих образах виртуальных машин Windows. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей Установка расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. AuditIfNotExists, Disabled 6.0.0-preview
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. AuditIfNotExists, Disabled 5.1.0-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей Установка расширения аттестации гостей на поддерживаемых виртуальных машинах, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. AuditIfNotExists, Disabled 4.0.0 (предварительная версия)
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Windows. AuditIfNotExists, Disabled 3.1.0-preview
[предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака обнаружил ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Виртуальные машины Linux должны использовать безопасную загрузку Для защиты от установки rootkit-программ и комплектов загрузки на основе вредоносного ПО и буткитов, включите безопасную загрузку на поддерживаемых виртуальных машинах Linux. Безопасная загрузка гарантирует, что будет разрешаться запуск только подписанных операционных систем и драйверов. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. На компьютерах должны быть закрыты порты, которые могут раскрывать векторы атаки Условия использования Azure запрещают использование служб Azure способом, который может привести к повреждению, отключению, перегрузке или затруднению использования любого сервера Майкрософт или сети. Для обеспечения безопасности открытые порты, выявленные этой рекомендацией, необходимо закрыть. Для каждого обнаруженного порта в рекомендации также содержится пояснение потенциальной угрозы. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows помогает предотвратить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. Audit, Disabled 4.0.0 (предварительная версия)
[Предварительная версия]. На компьютерах (под управлением Центра обновления) должны быть установлены обновления системы На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Аттестация гостя виртуальных машин должна находиться в работоспособном состоянии Аттестация гостя выполняется путем отправки доверенного журнала (TCGLog) на сервер аттестации. Сервер использует эти журналы для определения надежности компонентов загрузки. Эта оценка предназначена для выявления компромиссов в цепочке загрузки, которая может быть результатом заражения буткитом или руткитом. Эта оценка применяется только к надежным виртуальным машинам с включенным запуском, на которых установлено расширение аттестации гостя. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. Audit, Disabled 2.0.0-preview
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. AuditIfNotExists, Disabled 3.0.0
На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. AuditIfNotExists, Disabled 3.0.0
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. AuditIfNotExists, Disabled 3.0.0
Конечные точки API в Azure Управление API должны проходить проверку подлинности Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Дополнительные сведения об угрозе API OWASP для неработаемой проверки подлинности пользователей см. здесь: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists, Disabled 1.0.1
Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы azure Управление API В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользующимися и должны быть удалены из службы azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть устаревшими из службы azure Управление API, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. AuditIfNotExists, Disabled 1.0.1
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Audit, Disabled 2.0.1
В подписке должна быть включена автоматическая подготовка агента Log Analytics Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. AuditIfNotExists, Disabled 1.0.1
Защита от атак DDoS Azure должна быть включена Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. AuditIfNotExists, Disabled 3.0.1
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для реляционных баз данных с открытым кодом должен быть включен Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL Аудит гибких серверов PostgreSQL без расширенной безопасности данных AuditIfNotExists, Disabled 1.0.0
Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. AuditIfNotExists, Disabled 1.0.1
Контроль доступа на основе ролей Azure (RBAC) следует использовать в службах Kubernetes Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей Azure (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации. Audit, Disabled 1.0.3
У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. AuditIfNotExists, Disabled 1.0.1
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Экземпляры ролей облачных служб (расширенная поддержка) должны быть надежно настроены Защитите экземпляры ролей облачных служб (расширенная поддержка) от атак, убедившись, что они не подвержены уязвимостям в ОС. AuditIfNotExists, Disabled 1.0.0
Для экземпляров ролей облачных служб (расширенная поддержка) должно быть установлено решение Endpoint Protection Защитите экземпляры ролей облачных служб (расширенная поддержка) от угроз и уязвимостей, установив для них решение Endpoint Protection. AuditIfNotExists, Disabled 1.0.0
Для экземпляров ролей облачных служб (расширенная поддержка) должны быть установлены обновления системы Защитите экземпляры ролей облачных служб (расширенная поддержка), установив для них последние обновления безопасности и важные обновления. AuditIfNotExists, Disabled 1.0.0
Настройка расширенной защиты от угроз для гибких серверов базы данных Azure для PostgreSQL Включите Расширенную защиту от угроз в базе данных Azure для гибких серверов PostgreSQL для обнаружения аномальных действий, указывающих на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. DeployIfNotExists, Disabled 1.1.0
Настройка SQL Server с поддержкой Arc для автоматической установки агента Azure Monitor Автоматизация развертывания расширения агента Azure Monitor на серверах SQL с поддержкой Windows Arc. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0
Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL Настройте SQL Server с поддержкой Windows Arc для автоматической установки агента Microsoft Defender для SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). DeployIfNotExists, Disabled 1.2.0
Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. DeployIfNotExists, Disabled 1.3.0
Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. DeployIfNotExists, Disabled 1.4.0
Настройка SQL Server с поддержкой Arc с сопоставлением правил сбора данных в Microsoft Defender для DCR Настройте связь между серверами SQL с поддержкой Arc и Microsoft Defender для DCR SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. DeployIfNotExists, Disabled 1.1.0
Настройка SQL Server с поддержкой Arc с сопоставлением правил сбора данных в Microsoft Defender для SQL, определяемой пользователем DCR Настройте связь между серверами SQL с поддержкой Arc и определяемым пользователем DCR в Microsoft Defender для SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. DeployIfNotExists, Disabled 1.2.0
Возможность настройки Azure Defender для Службы приложений должна быть доступна Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. DeployIfNotExists, Disabled 1.0.1
Возможность настройки Azure Defender для базы данных SQL Azure должна быть доступна Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. DeployIfNotExists, Disabled 1.0.1
Настройте Azure Defender для включения реляционных баз данных с открытым кодом Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. DeployIfNotExists, Disabled 1.0.0
Возможность настройки Azure Defender для Resource Manager должна быть доступна Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. DeployIfNotExists, Disabled 1.1.0
Возможность настройки Azure Defender для серверов должна быть доступна Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. DeployIfNotExists, Disabled 1.0.1
Настройка включения Azure Defender для серверов SQL Server на компьютерах Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. DeployIfNotExists, Disabled 1.0.1
Настройка базовой версии Microsoft Defender для служба хранилища включена (только мониторинг активности) Microsoft Defender для служба хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Эта политика включает базовые возможности Defender для служба хранилища (мониторинг активности). Чтобы включить полную защиту, которая также включает в себя проверку вредоносных программ и обнаружение угроз конфиденциальной информации, используйте полную политику включения: aka.ms/DefenderFor служба хранилища Policy. Дополнительные сведения о возможностях и преимуществах Defender для служба хранилища см. в aka.ms/DefenderFor служба хранилища. DeployIfNotExists, Disabled 1.1.0
Настройка компьютеров для получения поставщика оценки уязвимостей Azure Defender предоставляет возможность выполнять проверку уязвимостей компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности. После включения этой политики Azure Defender автоматически развернет поставщик оценки уязвимостей Qualys на всех поддерживаемых компьютерах, на которых он еще не установлен. DeployIfNotExists, Disabled 4.0.0
Настройка плана CSPM в Microsoft Defender Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. DeployIfNotExists, Disabled 1.0.0
Настройка включения плана Microsoft Defender CSPM Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. DeployIfNotExists, Disabled 1.0.2
Выполните настройку, чтобы включить Microsoft Defender для Azure Cosmos DB Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации. DeployIfNotExists, Disabled 1.0.0
Настройка плана Microsoft Defender для контейнеров Новые возможности постоянно добавляются в план Defender для контейнеров, который может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. DeployIfNotExists, Disabled 1.0.0
Настроить включение Microsoft Defender для контейнеров Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. DeployIfNotExists, Disabled 1.0.1
Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP_EXCLUDE_LINUX...) Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известный как WDATP_EXCLUDE_LINUX_...) для включения автоматической подготовки MDE для серверов Linux. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. DeployIfNotExists, Disabled 1.0.0
Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP_UNIFIED_SOLUTION) Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известный как WDATP_UNIFIED_SOLUTION) для включения автоматической подготовки единого агента MDE для Windows Server 2012R2 и 2016. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. DeployIfNotExists, Disabled 1.0.0
Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP) Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известном как WDATP) для компьютеров с нижней версией Windows, подключенных к MDE через MMA, и автоматическую подготовку MDE в Windows Server 2019, виртуальном рабочем столе Windows и более поздних версиях. Необходимо включить, чтобы другие параметры (WDATP_UNIFIED и т. д.) работали. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. DeployIfNotExists, Disabled 1.0.0
Настройка плана Microsoft Defender для Key Vault Microsoft Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. DeployIfNotExists, Disabled 1.1.0
Настройка плана Microsoft Defender для серверов Новые возможности постоянно добавляются в Defender для серверов, что может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. DeployIfNotExists, Disabled 1.0.0
Настройка включения Microsoft Defender для SQL в рабочих областях Synapse Включите Microsoft Defender для SQL в рабочих областях Azure Synapse для обнаружения подозрительной активности, указывающей на необычные и потенциально вредоносные попытки доступа к базам данных SQL и их использования. DeployIfNotExists, Disabled 1.0.0
Настройка Microsoft Defender для служба хранилища (классической) для включения Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. DeployIfNotExists, Disabled 1.0.2
Настройка Microsoft Defender для включения служба хранилища Microsoft Defender для служба хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Эта политика включает все возможности Defender для служба хранилища; Мониторинг активности, сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Дополнительные сведения о возможностях и преимуществах Defender для служба хранилища см. в aka.ms/DefenderFor служба хранилища. DeployIfNotExists, Disabled 1.1.0
Настройка SQL Виртуальные машины для автоматической установки агента Azure Monitor Автоматизация развертывания расширения агента Azure Monitor в Виртуальные машины Windows SQL. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0
Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL Настройте windows SQL Виртуальные машины для автоматической установки расширения Microsoft Defender для SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). DeployIfNotExists, Disabled 1.3.0
Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. DeployIfNotExists, Disabled 1.4.0
Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. DeployIfNotExists, Disabled 1.4.0
Настройка рабочей области Microsoft Defender для Log Analytics для SQL Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, что и компьютер. DeployIfNotExists, Disabled 1.2.0
Создание и назначение встроенного управляемого удостоверения, назначаемого пользователем Создайте и назначьте встроенное управляемое удостоверение, назначаемое пользователем, в масштабе виртуальных машин SQL. AuditIfNotExists, DeployIfNotExists, Disabled 1.4.0
Развертывание: настройка правил подавления для оповещений Центра безопасности Azure Вы можете подавлять избыточные оповещения Центра безопасности Azure, развернув соответствующие правила для своей подписки или группы управления. deployIfNotExists 1.0.0
Развертывание экспорта в Концентратор событий в качестве доверенной службы для Microsoft Defender для облака данных Включите экспорт в Концентратор событий в качестве надежной службы Microsoft Defender для облака данных. Эта политика развертывает экспорт в Концентратор событий в качестве доверенной конфигурации службы с условиями и целевым концентратором событий на назначенном область. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. DeployIfNotExists, Disabled 1.0.0
Развертывание экспорта в Центре событий для данных Microsoft Defender для облака Включите экспорт в Центр событий для данных Microsoft Defender для облака. Эта политика отвечает за развертывание экспортированных данных в конфигурации концентратора событий с заданными вами условиями и целевым концентратором событий в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 4.2.0
Развертывание экспорта в рабочую область Log Analytics для данных Microsoft Defender для облака Включите экспорт в рабочую область Log Analytics для данных Microsoft Defender для облака. Эта политика отвечает за развертывание экспортированных данных в конфигурации рабочей области Log Analytics с заданными вами условиями и целевой рабочей областью в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 4.1.0
Развертывание автоматизации рабочих процессов для получения оповещений из Microsoft Defender для облака Включите автоматизацию оповещений Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 5.0.1
Рекомендации по развертыванию автоматизации рабочих процессов для получения рекомендаций из Microsoft Defender для облака Включите автоматизацию рекомендаций Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 5.0.1
Развертывание автоматизации рабочих процессов для обеспечения соответствия требованиям из Microsoft Defender для облака Включите автоматизацию соответствия Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 5.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.0.0
Включение для вашей подписки Microsoft Defender для облака Выявляет существующие подписки, которые не отслеживается Microsoft Defender для облака, и защищает их с помощью бесплатных функций Defender для облака. Подписки, которые уже отслеживаются, считаются соответствующими требованиям. Чтобы зарегистрировать только что созданные подписки, откройте вкладку "Соответствие", выберите нужное назначение, не соответствующее требованиям, и создайте задачу исправления. deployIfNotExists 1.0.1
Автоматическая подготовка агента Log Analytics для подписок в Центре безопасности с настраиваемой рабочей областью. Разрешение Центру безопасности автоматически подготавливать агент Log Analytics для ваших подписок с целью отслеживания и сбора данных о безопасности с использованием настраиваемой рабочей области. DeployIfNotExists, Disabled 1.0.0
Автоматическая подготовка агента Log Analytics для подписок в Центре безопасности с рабочей областью по умолчанию. Разрешение Центру безопасности автоматически подготавливать агент Log Analytics для ваших подписок с целью отслеживания и сбора данных о безопасности с использованием рабочей области Центра безопасности Azure по умолчанию. DeployIfNotExists, Disabled 1.0.0
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Документация по оценка защиты конечных точек представлена на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0
Необходимо установить Endpoint Protection на ваших компьютерах Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. AuditIfNotExists, Disabled 1.0.0
В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. AuditIfNotExists, Disabled 3.0.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, Disabled 3.0.0
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. Audit, Disabled 1.0.2
Для экземпляров ролей облачных служб (расширенная поддержка) должен быть установлен агент Log Analytics Центр безопасности собирает данные из экземпляров ролей облачных служб (расширенная поддержка) для отслеживания угроз и уязвимостей в системе безопасности. AuditIfNotExists, Disabled 2.0.0
На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. AuditIfNotExists, Disabled 1.0.0
В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. AuditIfNotExists, Disabled 1.0.0
Компьютеры должны иметь разрешенные секретные выводы Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. AuditIfNotExists, Disabled 1.0.2
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. AuditIfNotExists, Disabled 3.0.0
CSPM в Microsoft Defender должен быть включен Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для API Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и покрытие ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. AuditIfNotExists, Disabled 1.0.3
Должен быть включен Microsoft Defender для Azure Cosmos DB Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. AuditIfNotExists, Disabled 1.0.0
Состояние Microsoft Defender для SQL должно быть защищено для СЕРВЕРОВ SQL с поддержкой Arc Microsoft Defender для SQL предоставляет функциональные возможности для обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, обнаружению и классификации конфиденциальных данных. После включения состояние защиты указывает, что ресурс активно отслеживается. Даже если Защитник включен, необходимо проверить несколько параметров конфигурации на агенте, компьютере, рабочей области и сервере SQL Server, чтобы обеспечить активную защиту. Audit, Disabled 1.0.1
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0
Настройка подписок для перехода на альтернативное решение для оценки уязвимостей Microsoft Defender для облака предлагает сканирование уязвимостей для компьютеров без дополнительных затрат. Включение этой политики приведет к автоматическому распространению результатов из встроенного решения Microsoft Defender управление уязвимостями на всех поддерживаемых компьютерах Defender для облака. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, Disabled 4.1.0
Автоматическая подготовка sql server, предназначенная для SQL Server, должна быть включена для серверов SQL server на компьютерах. Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическую подготовку агента Microsoft Monitoring Agent, так как этот компонент устарел. Подробнее: https://aka.ms/SQLAMAMigration AuditIfNotExists, Disabled 1.0.0
Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. AuditIfNotExists, Disabled 1.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
В масштабируемых наборах виртуальных машин должны быть установлены обновления системы Аудит отсутствия обновлений для системы безопасности и критических обновлений, которые необходимо установить для защиты ваших масштабируемых наборов виртуальных машин с Windows и Linux. AuditIfNotExists, Disabled 3.0.0
На компьютерах должны быть установлены обновления системы Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 4.0.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. AuditIfNotExists, Disabled 2.0.3
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Необходимо устранить уязвимости в конфигурациях безопасности контейнера. Аудит уязвимостей в конфигурации безопасности на компьютерах с установленным Docker и отображение результатов в качестве рекомендаций в Центре безопасности Azure. AuditIfNotExists, Disabled 3.0.0
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.1.0
Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. AuditIfNotExists, Disabled 3.0.0

Центр безопасности — детализированные цены

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка Azure Defender для серверов для отключения всех ресурсов (уровня ресурсов) Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, виртуальных машин и компьютеров ARC) в выбранной область (подписке или группе ресурсов). DeployIfNotExists, Disabled 1.0.0
Настройка Azure Defender для серверов для отключения ресурсов (уровня ресурсов) с выбранным тегом Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, vmSSs и ARC Компьютеров), имеющих выбранное имя тега и значения тега. DeployIfNotExists, Disabled 1.0.0
Настройка в Azure Defender для серверов для включения (подплана P1) для всех ресурсов (уровня ресурсов) с выбранным тегом Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика включает план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC), имеющих выбранное имя тега и значения тега. DeployIfNotExists, Disabled 1.0.0
Настройка Azure Defender для серверов для включения (с подпланом P1) для всех ресурсов (уровня ресурсов) Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика включает план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC) в выбранной область (подписке или группе ресурсов). DeployIfNotExists, Disabled 1.0.0

Cлужебная шина

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Из пространства имен служебной шины должны быть удалены все правила авторизации за исключением RootManageSharedAccessKey Клиентам служебной шины не следует использовать политику доступа на уровне пространства имен, которая предоставляет доступ ко всем очередям и разделам в пространстве имен. Для соответствия модели безопасности с наименьшими правами создавайте политики доступа к очередям и разделам на уровне сущности, чтобы предоставлять доступ только к конкретной сущности. Audit, Deny, Disabled 1.0.1
Для работы пространств имен Служебной шины Azure нужно отключить способы локальной проверки подлинности Отключение локальных методов проверки подлинности повышает безопасность, обеспечивая, чтобы Служебная шина Azure пространства имен исключительно требовали идентификаторов Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/disablelocalauth-sb. Audit, Deny, Disabled 1.0.1
Пространства имен Служебной шины Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Настройка пространств имен Служебной шины Azure для отключения локальной проверки подлинности Отключите локальные методы проверки подлинности, чтобы пространства имен Azure ServiceBus исключительно требовали идентификаторов Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/disablelocalauth-sb. Modify, Disabled 1.0.1
Настройка пространств имен служебной шины для использования частных зон DNS Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в пространство имен служебной шины. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Disabled 1.0.0
Настройка пространств имен служебной шины с частными конечными точками Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Disabled 1.0.0
В Служебной шине должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
Для пространств имен служебной шины должен быть отключен доступ из общедоступной сети Для Служебной шины Azure должен быть отключен доступ из общедоступной сети. Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. Audit, Deny, Disabled 1.1.0
В пространствах имен служебной шины должно быть включено двойное шифрование Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Audit, Deny, Disabled 1.0.0
Для шифрования пространства имен Служебной шины уровня "Премиум" должны использовать ключ, управляемый клиентом Служебная шина Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью управляемых клиентом ключей позволяет назначать, сменять, отключать ключи, которые Служебная шина будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Учтите, что Служебная шина поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен уровня "Премиум". Audit, Disabled 1.0.0

Service Fabric

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0

SignalR

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Служба Azure SignalR должна отключать доступ к общедоступным сетям Чтобы повысить уровень безопасности ресурса Службы Azure SignalR, убедитесь, что он не открыт для общедоступного Интернета и доступен только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/asrs/networkacls. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Audit, Deny, Disabled 1.1.0
Служба Azure SignalR должна включить журналы диагностики Аудит активации журналов диагностики. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 1.0.0
В службе Azure SignalR должны быть отключены методы локальной проверки подлинности. Отключение методов локальной аутентификации повышает безопасность, гарантируя, что Служба Azure SignalR требует для проверки подлинности исключительно удостоверения Azure Active Directory. Audit, Deny, Disabled 1.0.0
Служба Azure SignalR должна использовать SKU с поддержкой Приватного канала Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Это защитит ваши ресурсы от рисков утечки общедоступных данных. Политика ограничивает доступ к номерам SKU с поддержкой Приватного канала для Службы Azure SignalR. Дополнительные сведения о приватном канале см. по адресу https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.0
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Настройка Службы Azure SignalR для отключения локальной проверки подлинности Отключите методы локальной проверки подлинности, чтобы Служба Azure SignalR требовала только удостоверения Azure Active Directory для проверки подлинности. Modify, Disabled 1.0.0
Настройка частных конечных точек для службы Azure SignalR Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Благодаря сопоставлению частных конечных точек с ресурсами службы Azure SignalR можно снизить риски утечки данных. Узнайте больше по адресу https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Развертывание — настройка частных зон DNS для частных конечных точек с подключением к Службе Azure SignalR Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в ресурс Службы Azure SignalR. См. дополнительные сведения: https://aka.ms/asrs/privatelink. DeployIfNotExists, Disabled 1.0.0
Изменение ресурсов Службы Azure SignalR для отключения доступа к общедоступным сетям Чтобы повысить уровень безопасности ресурса Службы Azure SignalR, убедитесь, что он не открыт для общедоступного Интернета и доступен только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/asrs/networkacls. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Modify, Disabled 1.1.0

Site Recovery

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Настройка использования частных зон DNS в хранилищах Служб восстановления Azure Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в хранилища Служб восстановления. См. дополнительные сведения: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Настройка частных конечных точек в хранилищах Служб восстановления Azure Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставление частных конечных точек с ресурсами восстановления сайта в хранилищах Служб восстановления позволяет снизить риски утечки данных. Чтобы использовать приватные каналы, управляемое удостоверение службы должно быть назначено хранилищам Служб восстановления. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Хранилища Служб восстановления должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с хранилищами Служб восстановления снижаются риски утечки данных. Дополнительные сведения о приватных каналах для Azure Site Recovery: https://aka.ms/HybridScenarios-PrivateLink и https://aka.ms/AzureToAzure-PrivateLink. Audit, Disabled 1.0.0 (предварительная версия)

SQL

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Администратор Microsoft Entra должен быть подготовлен для серверов MySQL Аудит подготовки администратора Microsoft Entra для сервера MySQL, чтобы включить проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт AuditIfNotExists, Disabled 1.1.1
Администратор Microsoft Entra должен быть подготовлен для серверов PostgreSQL Аудит подготовки администратора Microsoft Entra для сервера PostgreSQL, чтобы включить проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт AuditIfNotExists, Disabled 1.0.1
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Гибкий сервер Azure MySQL должен включать только проверку подлинности Microsoft Entra Отключение локальных методов проверки подлинности и разрешение только проверки подлинности Microsoft Entra повышает безопасность, обеспечивая доступ к гибкому серверу Azure MySQL исключительно удостоверениями Microsoft Entra. AuditIfNotExists, Disabled 1.0.1
База данных SQL Azure должна использовать TLS 1.2 или более поздней версии Задав версию TLS 1.2 или более новую, вы усилите защиту, сделав Базу данных SQL Azure доступной только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Audit, Disabled, Deny 2.0.0
База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra Требовать, чтобы логические серверы SQL Azure использовали проверку подлинности только для Microsoft Entra. Эта политика не блокирует создание серверов с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra во время создания Требовать, чтобы логические серверы SQL Azure создавались с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.2.0
Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra Требовать Управляемый экземпляр SQL Azure для использования проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание управляемых экземпляров SQL Azure с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.0.0
Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступным сетям см. в статье https://aka.ms/mi-public-endpoint. Audit, Deny, Disabled 1.0.0
во время создания Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra Требовать создания Управляемый экземпляр SQL Azure с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. Audit, Deny, Disabled 1.2.0
Настройка включения Расширенной защиты от угроз для серверов Базы данных Azure для MariaDB Включите Расширенную защиту от угроз для серверов Базы данных Azure для MariaDB не базового уровня, чтобы обнаружить аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или их использования. DeployIfNotExists, Disabled 1.2.0
Настройка включения Расширенной защиты от угроз для серверов Базы данных Azure для MySQL Включите Расширенную защиту от угроз для серверов Базы данных Azure для MySQL не базового уровня, чтобы обнаружить аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или их использования. DeployIfNotExists, Disabled 1.2.0
Настройка включения Расширенной защиты от угроз для серверов Базы данных Azure для PostgreSQL Включите Расширенную защиту от угроз для серверов Базы данных Azure для PostgreSQL не базового уровня, чтобы обнаружить аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или их использования. DeployIfNotExists, Disabled 1.2.0
Настройка включения Azure Defender на управляемых экземплярах SQL Включение Azure Defender на ваших управляемых экземплярах SQL Azure позволяет обнаруживать подозрительную активность, указывающую на необычные и потенциально опасные попытки доступа к базам данных или их эксплойта. DeployIfNotExists, Disabled 2.0.0
Настройка включения Azure Defender на серверах SQL Включение Azure Defender на серверах Azure SQL позволяет обнаруживать подозрительную активность, указывающую на необычные и потенциально опасные попытки доступа к базам данных или их эксплойта. Развернуть, если не существует 2.1.0
Настройка параметров диагностики для серверов Базы данных SQL Azure в рабочей области Log Analytics Включает журналы аудита для сервера Базы данных SQL Azure и передает их в рабочую область Log Analytics при создании или изменении сервера SQL Server, на котором отсутствует аудит DeployIfNotExists, Disabled 1.0.2
Настройка отключения доступа к общедоступной сети для Azure SQL Server Отключение доступа к общедоступной сети завершает работу общедоступного подключения, после чего доступ к Azure SQL Server можно получить только из частной конечной точки. Эта конфигурация предусматривает отключение доступа к общедоступной сети для всех баз данных в Azure SQL Server. Modify, Disabled 1.0.0
Настройка Azure SQL Server для обеспечения подключений к частным конечным точкам Подключение к частной конечной точке обеспечивает возможность частного подключения к Базе данных SQL Azure через частный IP-адрес в виртуальной сети. Эта конфигурация повышает состояние безопасности и поддерживает средства и сценарии работы с сетью Azure. DeployIfNotExists, Disabled 1.0.0
Для серверов SQL необходимо включить аудит Чтобы обеспечить сбор данных об операциях с ресурсами SQL, для серверов SQL необходимо включить аудит. Иногда это необходимо для обеспечения соответствия нормативным стандартам. DeployIfNotExists, Disabled 3.0.0
Настройте серверы SQL для включения аудита в рабочей области Log Analytics Чтобы обеспечить сбор данных об операциях с ресурсами SQL, для серверов SQL необходимо включить аудит. Если аудит не включен, эта политика настроит события аудита, чтобы направить их потоки в указанную рабочую область Log Analytics. DeployIfNotExists, Disabled 1.0.0
Для серверов баз данных PostgreSQL должно быть включено регулирование подключения Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включено регулирование подключения. Этот параметр обеспечивает временное регулирование подключений по IP-адресу при слишком большом числе неудачных попыток входа с паролем. AuditIfNotExists, Disabled 1.0.0
Развертывание. Настройка параметров диагностики для Баз данных SQL в рабочей области Log Analytics Развертывает параметры диагностики для Баз данных SQL для потоковой передачи журналов ресурсов в рабочую область Log Analytics при создании или изменении любой Базы данных SQL, где эти параметры диагностики отсутствуют. DeployIfNotExists, Disabled 4.0.0
Развертывание Расширенной защиты данных на серверах SQL Server Эта политика активирует Расширенную защиту данных на серверах SQL Server. Сюда входит включение обнаружения угроз и оценки уязвимостей. При этом автоматически создастся учетная запись хранения с префиксом "sqlva" в одном регионе и одной группе ресурсов с SQL Server для хранения результатов проверки. Развернуть, если не существует 1.3.0
Развернуть параметры диагностики для Базы данных SQL Azure в концентраторе событий Развертывает параметры диагностики для Базы данных SQL Azure для потоковой передачи в региональный концентратор событий при создании или изменении любой Базы данных SQL Azure, где эти параметры диагностики отсутствуют. Развернуть, если не существует 1.2.0
Развернуть прозрачное шифрование базы данных SQL Включает прозрачное шифрование данных в базах данных SQL DeployIfNotExists, Disabled 2.2.0
На серверах баз данных PostgreSQL должны быть включены журналы отключений. Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections. AuditIfNotExists, Disabled 1.0.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для MySQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для MySQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2. Audit, Deny, Disabled 1.0.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2 Audit, Deny, Disabled 1.0.0
На серверах баз данных PostgreSQL должны быть включены контрольные точки журнала Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, в которых не включен параметр log_checkpoints. AuditIfNotExists, Disabled 1.0.0
На серверах баз данных PostgreSQL должны быть включены журналы подключений Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_connections. AuditIfNotExists, Disabled 1.0.0
На серверах баз данных PostgreSQL должно быть включено время хранения для журналов Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_duration. AuditIfNotExists, Disabled 1.0.0
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. AuditIfNotExists, Disabled 2.0.0
Сервер MariaDB должен использовать конечную точку службы виртуальной сети. Правила брандмауэра на основе виртуальной сети используются для разрешения трафика к Базе данных Azure для MariaDB из определенной подсети, при этом трафик остается в пределах границ Azure. Эта политика позволяет выполнять аудит в случае, если в базе данных Azure для MariaDB используется конечная точка службы виртуальной сети. AuditIfNotExists, Disabled 1.0.2
Сервер MySQL должен использовать конечную точку службы виртуальной сети. Правила брандмауэра на основе виртуальной сети используются для разрешения трафика к Базе данных Azure для MySQL из определенной подсети, при этом трафик остается в пределах границ Azure. Эта политика позволяет выполнять аудит в случае, если в базе данных Azure для MySQL используется конечная точка службы виртуальной сети. AuditIfNotExists, Disabled 1.0.2
Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. AuditIfNotExists, Disabled 1.0.4
Сервер PostgreSQL должен использовать конечную точку службы виртуальной сети. Правила брандмауэра на основе виртуальной сети используются для разрешения трафика к Базе данных Azure для PostgreSQL из определенной подсети, при этом трафик остается в пределах границ Azure. Эта политика позволяет выполнять аудит в случае, если в базе данных Azure для PostgreSQL используется конечная точка службы виртуальной сети. AuditIfNotExists, Disabled 1.0.2
Серверы PostgreSQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. AuditIfNotExists, Disabled 1.0.4
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов MySQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для MySQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.1.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 3.0.1
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
В параметрах аудита SQL необходимо настроить группы действий для записи критических действий Для подробного ведения журнала аудита свойство AuditActionsAndGroups должно включать как минимум следующие значения: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP и BATCH_COMPLETED_GROUP. AuditIfNotExists, Disabled 1.0.0
База данных SQL не должна использовать избыточность GRS для резервных копий Базы данных не должны использовать геоизбыточное хранилище для резервного копирования, если правила относительно места расположения данных требуют, чтобы данные оставались в определенном регионе. Примечание. Политика Azure не применяется при создании базы данных с помощью T-SQL. Если явно не указано иное, база данных с геоизбыточным хранилищем резервных копий создается с помощью T-SQL. Deny, Disabled 2.0.0
Управляемый экземпляр SQL должен использовать как минимум версию TLS 1.2 Задав в качестве минимальной версию TLS 1.2, вы усилите защиту, сделав Управляемый экземпляр SQL доступным только с клиентов, использующих TLS 1.2. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Audit, Disabled 1.0.1
Управляемые экземпляры SQL не должны использовать избыточность GRS для резервных копий Управляемые экземпляры не должны использовать геоизбыточное хранилище по умолчанию для резервных копий, если правила относительно места расположения данных требуют, чтобы данные оставались в определенном регионе. Примечание. Политика Azure не применяется при создании базы данных с помощью T-SQL. Если явно не указано иное, база данных с геоизбыточным хранилищем резервных копий создается с помощью T-SQL. Deny, Disabled 2.0.0
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.1
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, Disabled 3.0.0
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0
Правило брандмауэра на основе виртуальной сети для Базы данных SQL Azure должно быть включено, чтобы разрешить трафик из указанной подсети Правила брандмауэра на основе виртуальной сети используются для разрешения трафика к Базе данных SQL Azure из определенной подсети, при этом трафик остается в пределах границ Azure. Проверить, если не существует 1.0.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Управляемый экземпляр SQL

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Шифрование ключей, управляемого клиентом, должно использоваться в рамках шифрования CMK для управляемых экземпляров ARC SQL. В рамках шифрования CMK необходимо использовать шифрование ключей, управляемое клиентом. Узнайте больше по адресу https://aka.ms/EnableTDEArcSQLMI. Audit, Disabled 1.0.0
Протокол TLS 1.2 должен использоваться для управляемых экземпляров Arc SQL. В рамках параметров сети корпорация Майкрософт рекомендует разрешить только TLS 1.2 для протоколов TLS на серверах SQL Server. Дополнительные сведения о параметрах сети для SQL Server см. на сайте https://aka.ms/TlsSettingsSQLServer. Audit, Disabled 1.0.0
прозрачное шифрование данных необходимо включить для управляемых экземпляров Arc SQL. Включите прозрачное шифрование данных (TDE) в неактивных Управляемый экземпляр SQL с поддержкой Azure Arc. Узнайте больше по адресу https://aka.ms/EnableTDEArcSQLMI. Audit, Disabled 1.0.0

SQL Server

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[предварительная версия]: включение назначаемого системой удостоверения виртуальной машины SQL Включите назначаемое системой удостоверение в масштабе виртуальных машин SQL. Эту политику необходимо назначить на уровне подписки. Назначение на уровне группы ресурсов не будет работать должным образом. DeployIfNotExists, Disabled 1.0.0 (предварительная версия)
Настройте серверы с поддержкой Arc с установленным расширением SQL Server, чтобы включить или отключить оценку рекомендаций SQL. Включите или отключите оценку рекомендаций SQL на экземплярах SQL Server на серверах с поддержкой Arc, чтобы оценить рекомендации. Узнайте больше по адресу https://aka.ms/azureArcBestPracticesAssessment. DeployIfNotExists, Disabled 1.0.1
Подпишите подходящие экземпляры SQL Server с поддержкой Arc на Обновления расширенной безопасности. Подписывайтесь на допустимые экземпляры SQL Server с поддержкой Arc с типом лицензии, заданным как PayG или PAYG, на расширенные Обновления безопасности. Дополнительные сведения о расширенных обновлениях https://go.microsoft.com/fwlink/?linkid=2239401системы безопасности. DeployIfNotExists, Disabled 1.0.0

Stack HCI

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[предварительная версия]: серверы Azure Stack HCI должны последовательно применять политики управления приложениями Как минимум, примените базовую политику Microsoft WDAC в принудительном режиме на всех серверах Azure Stack HCI. Примененные политики управления приложениями Защитника Windows (WDAC) должны быть согласованы между серверами в одном кластере. Audit, Disabled, AuditIfNotExists 1.0.0 (предварительная версия)
[предварительная версия]: серверы Azure Stack HCI должны соответствовать требованиям Secured-core Убедитесь, что все серверы Azure Stack HCI соответствуют требованиям secured-core. Чтобы включить требования к серверу Secured-core: 1. На странице кластеров Azure Stack HCI перейдите в Центр Администратор Windows и выберите Подключение. 2. Перейдите к расширению безопасности и выберите Secured-core. 3. Выберите любой параметр, который не включен, и нажмите кнопку "Включить". Audit, Disabled, AuditIfNotExists 1.0.0 (предварительная версия)
[предварительная версия]: системы Azure Stack HCI должны иметь зашифрованные тома Используйте BitLocker для шифрования томов ОС и данных в системах Azure Stack HCI. Audit, Disabled, AuditIfNotExists 1.0.0 (предварительная версия)
[Предварительная версия]. Сеть узлов и виртуальных машин должна быть защищена в системах Azure Stack HCI Защита данных в сети azure Stack HCI и подключений к сети виртуальной машины. Audit, Disabled, AuditIfNotExists 1.0.0 (предварительная версия)

Хранилище

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
Тома SMB Azure NetApp Files должны использовать шифрование SMB3 Запретите создание томов SMB без шифрования SMB3, чтобы обеспечить целостность и конфиденциальность данных. Audit, Deny, Disabled 1.0.0
Тома Azure NetApp Files типа NFSv4.1 должны использовать шифрование данных Kerberos Разрешите использование только режима безопасности Kerberos (5p), чтобы обеспечить шифрование данных. Audit, Deny, Disabled 1.0.0
Тома Azure NetApp Files типа NFSv4.1 должны использовать целостность данных или конфиденциальность данных Kerberos Убедитесь, что для обеспечения целостности и конфиденциальности данных используется как минимум либо режим целостности Kerberos (krb5i), либо режим конфиденциальности Kerberos (krb5p). Audit, Deny, Disabled 1.0.0
Тома Azure NetApp Files не должны использовать тип протокола NFSv3 Запретите использование типа протокола NFSv3, чтобы предотвратить небезопасный доступ к томам. Для доступа к томам NFS необходимо использовать протокол NFSv4.1 с Kerberos, чтобы обеспечить целостность данных и шифрование. Audit, Deny, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID больших двоичных объектов Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID больших двоичных объектов. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID blob_secondary Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID blob_secondary. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID dfs Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID dfs. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID dfs_secondary Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID dfs_secondary. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID файлов Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID файлов. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID очередей Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID очередей. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID queue_secondary Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID queue_secondary. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID таблиц Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID таблиц. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID table_secondary Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID table_secondary. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID в Интернете Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID в Интернете. DeployIfNotExists, Disabled 1.0.0
Настройка идентификатора частной зоны DNS для groupID web_secondary Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID web_secondary. DeployIfNotExists, Disabled 1.0.0
Настройка использования частных зон DNS для Синхронизации файлов Azure Чтобы получить доступ к частным конечным точкам для интерфейсов ресурсов службы синхронизации хранилища с зарегистрированного сервера, необходимо настроить DNS для разрешения правильных имен в частные IP-адреса частной конечной точки. Эта политика позволяет создать требуемую Частную зону DNS Azure и записи A для интерфейсов частных конечных точек службы синхронизации хранилища. DeployIfNotExists, Disabled 1.1.0
Настройка частных конечных точек для Синхронизации файлов Azure Частная конечная точка развертывается для указанного ресурса службы синхронизации хранилища. Это позволяет обращаться к ресурсу службы синхронизации хранилища из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Существование одной или нескольких частных конечных точек само по себе не приводит к отключению общедоступной конечной точки. DeployIfNotExists, Disabled 1.0.0
Настройка параметров диагностики для служб BLOB-объектов в рабочей области Log Analytics Развертывает параметры диагностики для служб BLOB-объектов, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы BLOB-объектов, где эти параметры диагностики отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Настройка параметров диагностики для файловых служб в рабочей области Log Analytics Развертывает параметры диагностики для файловых служб, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой файловой службы, где эти параметры диагностики отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Настройка параметров диагностики для служб очередей в рабочей области Log Analytics Развертывает параметры диагностики для служб очередей, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы очередей, где эти параметры диагностики отсутствуют. Примечание. Эта политика не активируется при создании учетной записи служба хранилища и требует создания задачи исправления для обновления учетной записи. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.1
Настройка параметров диагностики для учетных записей хранения в рабочей области Log Analytics Развертывает параметры диагностики для учетных записей хранения, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении учетных записей хранения, где эти параметры отсутствуют. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Настройка параметров диагностики для служб таблиц в рабочей области Log Analytics Развертывает параметры диагностики для служб таблиц, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы таблиц, где эти параметры диагностики отсутствуют. Примечание. Эта политика не активируется при создании учетной записи служба хранилища и требует создания задачи исправления для обновления учетной записи. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.1
Настройка безопасной передачи данных в учетную запись хранения Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только из безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Modify, Disabled 1.0.0
Настройка учетной записи хранения для использования подключения приватного канала Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своей учетной записью хранения, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. DeployIfNotExists, Disabled 1.0.0
Настройка отключения доступа из общедоступной сети для учетных записей хранения Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Modify, Disabled 1.0.1
Настройка запрета общего доступа к учетной записи хранения Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. Modify, Disabled 1.0.0
Настройка учетной записи служба хранилища для включения управления версиями BLOB-объектов Вы можете включить управление версиями хранилища BLOB-объектов, чтобы автоматически обслуживать предыдущие версии объекта. Если включено управление версиями BLOB-объектов, вы можете получить доступ к более ранним версиям большого двоичного объекта, чтобы восстановить данные, если они изменены или удалены. Audit, Deny, Disabled 1.0.0
Развертывание Defender для служба хранилища (классической) в учетных записях хранения Эта политика включает Defender для служба хранилища (классической) в учетных записях хранения. DeployIfNotExists, Disabled 1.0.1
Учетные записи хранения должны использовать геоизбыточное хранилище Использование геоизбыточности для создания высокодоступных приложений Audit, Disabled 1.0.0
Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Audit, Disabled, Deny 2.0.0
Изменение — настройка Синхронизации файлов Azure для отключения доступа к общедоступной сети Общедоступная конечная точка в Интернете для Синхронизации файлов Azure отключена политикой организации. Вы по-прежнему можете получить доступ к службе синхронизации хранилища через ее частные конечные точки. Modify, Disabled 1.0.0
Изменение. Настройка учетной записи служба хранилища для включения управления версиями BLOB-объектов Вы можете включить управление версиями хранилища BLOB-объектов, чтобы автоматически обслуживать предыдущие версии объекта. Если включено управление версиями BLOB-объектов, вы можете получить доступ к более ранним версиям большого двоичного объекта, чтобы восстановить данные, если они изменены или удалены. Обратите внимание, что существующие учетные записи хранения не будут изменены, чтобы включить управление версиями хранилища BLOB-объектов. Только недавно созданные учетные записи хранения будут иметь включенную версию хранилища BLOB-объектов. Modify, Disabled 1.0.0
Доступ к общедоступной сети для Синхронизации файлов Azure должен быть отключен Отключение общедоступной конечной точки позволяет ограничить доступ к ресурсу службы синхронизации хранилища запросами, предназначенными для утвержденных частных конечных точек в сети организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации хранилища, задав для incomingTrafficPolicy ресурса значение AllowVirtualNetworksOnly. Audit, Deny, Disabled 1.0.0
Хранилище очередей должно использовать для шифрования ключ, управляемый клиентом Обеспечение безопасности хранилища очередей благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Deny, Disabled 1.0.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
В областях шифрования учетных записей хранения следует применять двойное шифрование неактивных данных Включите шифрование инфраструктуры для шифрования неактивных данных в областях шифрования учетной записи хранения для повышения безопасности. Если включено шифрование инфраструктуры, данные шифруются дважды. Audit, Deny, Disabled 1.0.0
Ключи учетной записи хранения не должны быть просрочены Убедитесь, что ключи учетной записи хранения пользователя не просрочены, если задана политика срока действия ключа. Это позволит повысить безопасность ключей учетной записи, предпринимая меры по истечении срока действия ключей. Audit, Deny, Disabled 3.0.0
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны ограничиваться разрешенными SKU Ограничение набора SKU учетных записей хранения, которые может развертывать ваша организация. Audit, Deny, Disabled 1.1.0
Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. Audit, Deny, Disabled 1.0.0
Для учетных записей хранения должен быть отключен доступ из общедоступной сети Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. Audit, Deny, Disabled 1.0.1
В учетных записях хранения должно быть включено шифрование инфраструктуры. Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. Audit, Deny, Disabled 1.0.0
Для учетных записей хранения должны быть настроены политики подписанных URL-адресов (SAS) Для учетных записей хранения должна быть включена политика срока действия подписанных URL-адресов (SAS). Пользователи используют SAS для делегирования доступа к ресурсам в учетной записи хранения Azure. При создании пользователем маркера SAS политика срока действия SAS рекомендует использовать верхний предел срока. Audit, Deny, Disabled 1.0.0
У учетных записей хранения должна быть указанная минимальная версия TLS Настройте минимальную версию TLS для безопасного взаимодействия между клиентским приложением и учетной записью хранения. Чтобы свести к минимуму риск безопасности, в качестве минимальной версии TLS рекомендуется использовать последнюю выпущенную версию (в настоящее время это TLS 1.2). Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны предотвращать репликацию объектов в разных клиентах Необходимо вести аудит ограничения репликации объектов для учетной записи хранения. По умолчанию пользователи могут настраивать репликацию объектов с помощью учетной записи источника в одном клиенте Azure AD и учетной записи назначения в другом клиенте. При этом возникает проблема безопасности, поскольку данные клиента могут быть реплицированы в учетную запись хранения, которая принадлежит заказчику. Если задать параметру allowCrossTenantReplication значение false, репликацию объектов можно настроить только в том случае, если учетные записи источника и назначения находятся в одном клиенте Azure AD. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны предотвращать доступ к общему ключу Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для вашей учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации именно Azure AD обеспечивает повышенную уровень безопасности и простоту использования по сравнению с общим ключом и рекомендуется корпорацией Майкрософт. Audit, Deny, Disabled 2.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. Audit, Deny, Disabled 1.0.1
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Disabled 1.0.3
Учетные записи хранения должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Хранилище таблиц должно использовать для шифрования ключ, управляемый клиентом Обеспечение безопасности хранилища таблиц благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Deny, Disabled 1.0.0

Stream Analytics

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для шифрования данных задания Azure Stream Analytics должны использоваться ключи, управляемые клиентом Чтобы обеспечить безопасное хранение метаданных и частных ресурсов данных для заданий Stream Analytics в учетной записи хранения, используйте ключи, управляемые клиентом. Таким образом, вы сможете полностью контролировать шифрование данных Stream Analytics. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
В Azure Stream Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
Задание Stream Analytics должно использовать доверенные входные и выходные подключения Убедитесь, что задания Stream Analytics не имеют произвольных входных или выходных соединений, которые не определены в списке разрешений. Эта проверка поможет убедиться, что задания Stream Analytics не подвергнут данные риску кражи из-за подключения к произвольным приемникам за пределами организации. Deny, Disabled, Audit 1.1.0
Задание Stream Analytics должно использовать управляемое удостоверение для проверки подлинности конечных точек Убедитесь, что задания Stream Analytics подключаются к конечным точкам только с помощью проверки подлинности управляемого удостоверения. Deny, Disabled, Audit 1.0.0

Synapse

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для рабочей области Synapse должен быть включен аудит Необходимо включить аудит для рабочей области Synapse, чтобы отслеживать действия со всеми базами данных в выделенных пулах SQL и сохранять их в журнал аудита. AuditIfNotExists, Disabled 1.0.0
Выделенные пулы SQL Azure Synapse Analytics должны включать шифрование Включите прозрачное шифрование данных для выделенных пулов SQL Azure Synapse Analytics для защиты неактивных данных и соответствия требованиям. Обратите внимание, что включение прозрачного шифрования данных для пула может повлиять на производительность запросов. Дополнительные сведения могут ссылаться на https://go.microsoft.com/fwlink/?linkid=2147714 AuditIfNotExists, Disabled 1.0.0
SQL Server рабочей области Azure Synapse должен работать под управлением TLS версии 1.2 или более поздней версии Задав версию TLS 1.2 или более позднюю, вы усилите защиту, сделав сервер SQL рабочей области Azure Synapse доступным только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Audit, Deny, Disabled 1.1.0
Рабочие области Azure Synapse должны разрешать исходящий трафик только к утвержденным целевым объектам Повысьте безопасность своей рабочей области Synapse, разрешив исходящий трафик только к утвержденным целевым объектам. Это помогает предотвратить утечки данных благодаря проверке целевых объектов перед отправкой данных. Audit, Disabled, Deny 1.0.0
Доступ к общедоступной сети должен быть отключен для рабочих областей Azure Synapse Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что рабочая область Synapse не будет представлена в общедоступном Интернете. Создав частные конечные точки, вы можете снизить уязвимость рабочих областей Synapse. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Audit, Deny, Disabled 1.0.0
Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). Audit, Deny, Disabled 1.0.0
Рабочие области Azure Synapse должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Настройка минимальной версии TLS для выделенного SQL рабочей области Azure Synapse Клиенты могут повышать или понижать минимальную версию TLS с помощью API как для новых рабочих областей Synapse, так и для существующих рабочих областей, так чтобы пользователи, которым необходимо применить более раннюю версию клиента в рабочих областях, также могли подключаться. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modify, Disabled 1.1.0
Настройка отключения доступа к общедоступной сети для рабочих областей Azure Synapse Отключите доступ к общедоступной сети для своей рабочей области Synapse, чтобы она не была доступна через общедоступную сеть Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modify, Disabled 1.0.0
Настройка использования частных зон DNS для рабочих областей Azure Synapse Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в рабочую область Azure Synapse. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. DeployIfNotExists, Disabled 2.0.0
Настройка частных конечных точек для рабочих областей Azure Synapse Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с рабочими областями Azure Synapse можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, Disabled 1.0.0
Для рабочих областей Synapse должен быть настроен аудит Чтобы реализовать сбор данных об операциях с ресурсами SQL, для рабочих областей Synapse необходимо включить аудит. Иногда это необходимо для обеспечения соответствия нормативным стандартам. DeployIfNotExists, Disabled 2.0.0
Настройте рабочие области Synapse для включения аудита в рабочей области Log Analytics Чтобы реализовать сбор данных об операциях с ресурсами SQL, для рабочих областей Synapse необходимо включить аудит. Если аудит не включен, эта политика настроит события аудита, чтобы направить их потоки в указанную рабочую область Log Analytics. DeployIfNotExists, Disabled 1.0.0
Настройка рабочих областей Synapse для использования только удостоверений Microsoft Entra для проверки подлинности Требовать и перенастраивать рабочие области Synapse для использования проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. Он блокирует включение локальной проверки подлинности и повторно включает проверку подлинности только для Microsoft Entra на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. Modify, Disabled 1.0.0
Настройка рабочих областей Synapse для использования только удостоверений Microsoft Entra для проверки подлинности во время создания рабочей области Требовать и перенастраивать рабочие области Synapse для создания с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. Modify, Disabled 1.2.0
Правила брандмауэра для IP-адресов в рабочих областях Azure Synapse должны быть удалены Удаление всех правил брандмауэра для IP-адресов повышает уровень безопасности, обеспечивая доступ к рабочей области Azure Synapse только из частной конечной точки. Эта конфигурация выполняет аудит создания правил брандмауэра, которые разрешают доступ к общедоступной сети в рабочей области. Audit, Disabled 1.0.0
Управляемая виртуальная сеть рабочей области в рабочих областях Azure Synapse должна быть включена Включение управляемой виртуальной сети рабочей области гарантирует, что ваша рабочая область будет изолирована от других областей. Интеграции данных и ресурсы Spark, развернутые в этой виртуальной сети, также обеспечивают изоляцию на уровне пользователей для действий Spark. Audit, Deny, Disabled 1.0.0
Управляемые частные конечные точки Synapse должны подключаться только к ресурсам в утвержденных клиентах Azure Active Directory Защитите рабочую область Synapse, разрешив подключения только к ресурсам утвержденных клиентов Azure Active Directory. Утвержденные клиенты Azure AD можно определить во время назначения политики. Audit, Disabled, Deny 1.0.0
В параметрах аудита рабочей области Synapse должны быть настроены группы для регистрации критических действий Чтобы сделать журналы аудита максимально подробными, включите в свойство AuditActionsAndGroups все соответствующие группы. Рекомендуем добавить по меньшей мере группы SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP и BATCH_COMPLETED_GROUP. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, Disabled 1.0.0
Для рабочих областей Synapse должна быть включена проверка подлинности только для Microsoft Entra Требовать, чтобы рабочие области Synapse использовали проверку подлинности только для Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. Audit, Deny, Disabled 1.0.0
Рабочие области Synapse должны использовать только удостоверения Microsoft Entra для проверки подлинности во время создания рабочей области Требовать создание рабочих областей Synapse с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. Audit, Deny, Disabled 1.2.0
Для рабочих областей Synapse с аудитом SQL в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL рабочих областей Synapse в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, Disabled 2.0.0
В рабочих областях Synapse должна быть включена оценка уязвимостей Обнаруживайте, отслеживайте и устраняйте потенциальные уязвимости, настроив регулярную оценку уязвимостей SQL для рабочих областей Synapse. AuditIfNotExists, Disabled 1.0.0

Системная политика

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разрешенные регионы развертывания ресурсов Эта политика поддерживает набор наиболее доступных регионов, где ваша подписка может развертывать ресурсы. Цель этой политики заключается в том, чтобы ваша подписка получила полный доступ к службам Azure с оптимальной производительностью. Если вам нужны дополнительные или разные регионы, обратитесь в службу поддержки. запретить 1.0.0

Теги

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление тегов в группы ресурсов Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Существующие группы ресурсов можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. modify 1.0.0
Добавление тегов к ресурсам Добавляет указанный тег и значение при создании или обновлении любого ресурса, пропустившего этот тег. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. Не изменяет теги в группах ресурсов. modify 1.0.0
Добавление тега в подписки Добавляет указанный тег и значение в подписки с помощью задачи исправления. Если тег существует с другим значением, он не изменится. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. modify 1.0.0
Добавление или замена тегов в группах ресурсов Добавляет или заменяет указанный тег и значение при создании или обновлении любой группы ресурсов. Существующие группы ресурсов можно исправить, активировав задачу исправления. modify 1.0.0
Добавление или замена тегов в ресурсах Добавляет или заменяет указанный тег и значение при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. Не изменяет теги в группах ресурсов. modify 1.0.0
Добавление или замена тега в подписках Добавляет указанный тег и значение в подписки или заменяет их с помощью задачи исправления. Существующие группы ресурсов можно исправить, активировав задачу исправления. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. modify 1.0.0
Добавление тега и его значения из группы ресурсов Добавляет указанный тег и его значение из группы ресурсов при создании или обновлении любого ресурса, пропустившего этот тег. Не изменяет теги ресурсов, созданных до применения этой политики, пока эти ресурсы не будут изменены. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). append 1.0.0
Добавление тега и его значения к группам ресурсов Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Не изменяет теги групп ресурсов, созданных до применения этой политики, пока эти группы ресурсов не будут изменены. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). append 1.0.0
Добавление тега и его значения к ресурсам Добавляет указанный тег и значение при создании или обновлении любого ресурса, пропустившего этот тег. Не изменяет теги ресурсов, созданных до применения этой политики, пока эти ресурсы не будут изменены. Не применяется к группам ресурсов. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). append 1.0.1
Наследовать тег из группы ресурсов Добавляет или заменяет указанный тег и значение из родительской группы ресурсов при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. modify 1.0.0
Наследовать тег из группы ресурсов, если он отсутствует Добавляет указанный тег и его значение из родительской группы ресурсов при создании или обновлении любого ресурса, пропустившего этот тег. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. modify 1.0.0
Наследовать тег из подписки Добавляет или заменяет указанный тег и значение из соответствующей подписки при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. modify 1.0.0
Наследовать тег из подписки при его отсутствии Добавляет указанный тег и его значение из соответствующей подписки при создании или обновлении любого ресурса, в котором этот тег отсутствует. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. modify 1.0.0
Требование тега и его значения в группах ресурсов Принудительно задает нужный тег и его значение в группах ресурсов. запретить 1.0.0
Требование тега и его значения в ресурсах Принудительно применяет обязательный тег и его значение. Не применяется к группам ресурсов. запретить 1.0.1
Требование тега в группах ресурсов Принудительное задание тегов в группах ресурсов. запретить 1.0.0
Требование тега в ресурсах Принудительно применяет тег. Не применяется к группам ресурсов. запретить 1.0.1
Требуется, чтобы ресурсы не имели определенного тега. Запрещает создание ресурса, содержащего заданный тег. Не применяется к группам ресурсов. Audit, Deny, Disabled 2.0.0

Доверенный запуск

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Диски и образ ОС должны поддерживать TrustedLaunch TrustedLaunch повышает безопасность виртуальной машины, требующей поддержки диска ОС и образа ОС (2-го поколения). Дополнительные сведения о ДоверенномLaunch см. на сайте https://aka.ms/trustedlaunch Audit, Disabled 1.0.0
Виртуальная машина должна иметь включенную функцию TrustedLaunch Включите TrustedLaunch на виртуальной машине для повышения безопасности, используйте номер SKU виртуальной машины (2-го поколения), поддерживающий TrustedLaunch. Дополнительные сведения о ДоверенномLaunch см. на сайте https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch Audit, Disabled 1.0.0

VirtualEnclaves

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройте служба хранилища учетные записи, чтобы ограничить сетевой доступ только через конфигурацию обхода сетевого списка ACL. Чтобы повысить безопасность учетных записей служба хранилища, включите доступ только через обход сетевого списка ACL. Эта политика должна использоваться в сочетании с частной конечной точкой для доступа к учетной записи хранения. Modify, Disabled 1.0.0
Не разрешать создание типов ресурсов за пределами списка разрешений Эта политика предотвращает развертывание типов ресурсов за пределами явно разрешенных типов, чтобы обеспечить безопасность в виртуальном анклавах. https://aka.ms/VirtualEnclaves Audit, Deny, Disabled 1.0.0
Не разрешать создание указанных типов ресурсов или типов в определенных поставщиках Поставщики ресурсов и типы, указанные в списке параметров, не могут быть созданы без явного утверждения от команды безопасности. Если исключение предоставлено назначению политики, ресурс можно использовать в анклавах. https://aka.ms/VirtualEnclaves Audit, Deny, Disabled 1.0.0
Сетевые интерфейсы должны быть подключены к утвержденной подсети утвержденной виртуальной сети. Эта политика блокирует подключение сетевых интерфейсов к виртуальной сети или подсети, которая не утверждена. https://aka.ms/VirtualEnclaves Audit, Deny, Disabled 1.0.0
служба хранилища учетные записи должны ограничивать доступ к сети только через конфигурацию обхода сетевого списка ACL. Чтобы повысить безопасность учетных записей служба хранилища, включите доступ только через обход сетевого списка ACL. Эта политика должна использоваться в сочетании с частной конечной точкой для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0

Средство создания образа виртуальной машины

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Web PubSub

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для службы Azure Web PubSub должен быть отключен доступ из общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что служба Azure Web PubSub не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить доступ к службе Azure Web PubSub. См. дополнительные сведения: https://aka.ms/awps/networkacls. Audit, Deny, Disabled 1.0.0
Для Службы Azure Web PubSub должны быть включены журналы диагностики Аудит активации журналов диагностики. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 1.0.0
Служба Azure Web PubSub должна иметь отключенные локальные методы проверки подлинности Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что служба Azure Web PubSub исключительно требует удостоверений Azure Active Directory для проверки подлинности. Audit, Deny, Disabled 1.0.0
Служба Azure Web PubSub должна использовать SKU с поддержкой приватного канала При использовании поддерживаемого номера SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположениях. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. Audit, Deny, Disabled 1.0.0
Служба Azure Web PubSub должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Настройка службы Azure Web PubSub для отключения локальной проверки подлинности Отключите локальные методы проверки подлинности, чтобы служба Azure Web PubSub исключительно требует удостоверений Azure Active Directory для проверки подлинности. Modify, Disabled 1.0.0
Настройка отключения доступа к общедоступной сети для службы Azure Web PubSub Отключите доступ к общедоступной сети для своего ресурса Azure Web PubSub, чтобы он был недоступным через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/awps/networkacls. Modify, Disabled 1.0.0
Настройка использования частных зон DNS для службы Azure Web PubSub Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в службу Azure Web PubSub. См. дополнительные сведения: https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0
Настройка службы Azure Web PubSub с помощью частных конечных точек Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0

Следующие шаги