Встроенные определения политик Azure для сетевых служб Azure
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для сетевых служб Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Сетевые службы Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| [предварительная версия]: Шлюз приложений должны быть устойчивыми к зонам | Шлюз приложений можно настроить для выравнивания между зонами, избыточности между зонами или ни для одного из этих компонентов. Шлюз приложений smthat havenexactly одну запись в массиве зон считаются выровненными по зонам. В отличие от этого, приложения Gatmways с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка использования частных зон DNS в хранилищах Служб восстановления Azure | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в хранилища Служб восстановления. См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Хранилища Служб восстановления нужно настроить на использование частных зон DNS для резервного копирования | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в хранилище Служб восстановления. См. дополнительные сведения: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [предварительная версия]: брандмауэры должны быть устойчивыми к зонам | Брандмауэры можно настроить для выравнивания между зонами, избыточности между зонами или ни одного из этих брандмауэров. Брандмауэры, имеющие ровно одну запись в массиве зон, считаются выровненными по зонам. В отличие от этого, брандмауэры с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: подсистемы балансировки нагрузки должны быть устойчивыми к зонам | Подсистемы балансировки нагрузки с номером SKU, отличном от базового, наследуют устойчивость общедоступных IP-адресов в интерфейсе. В сочетании с политикой "Общедоступные IP-адреса должны быть устойчивые к зонам", этот подход обеспечивает необходимую избыточность для обеспечения простоя зоны. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: шлюз NAT должен быть выровнен по зонам | Шлюз NAT можно настроить для выравнивания зоны или нет. Шлюз NAT, имеющий ровно одну запись в массиве зон, считается выравниванием по зонам. Эта политика гарантирует, что шлюз NAT настроен для работы в одной зоне доступности. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: общедоступные IP-адреса должны быть устойчивыми к зонам. | Общедоступные IP-адреса можно настроить для выравнивания зоны, избыточности между зонами или ни одного из этих адресов. Общедоступные IP-адреса, которые являются региональными, с ровно одной записью в массиве зон считаются выровненными по зонам. В отличие от этого, общедоступные IP-адреса, которые являются региональными, с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. | Audit, Deny, Disabled | 1.1.0 (предварительная версия) |
| [Предварительная версия]: префиксы общедоступного IP-адреса должны быть устойчивыми к зонам. | Префиксы общедоступного IP-адреса можно настроить для выравнивания между зонами, избыточности между зонами или ни одного из этих префиксов. Префиксы общедоступного IP-адреса, имеющие ровно одну запись в массиве зон, считаются выровненными по зонам. В отличие от этого, префиксы общедоступного IP-адреса с 3 или более записями в массиве зон распознаются как избыточные по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: шлюзы виртуальной сети должны быть избыточными по зонам. | Шлюзы виртуальной сети можно настроить для избыточности зоны или нет. Шлюзы виртуальной сети, имя или уровень SKU которых не заканчиваются az, не являются избыточными по зонам. Эта политика определяет шлюзы виртуальной сети, которые не имеют избыточности, необходимой для того, чтобы выдержать сбой зоны. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Настраиваемая политика IPsec/IKE должна применяться ко всем подключениям к шлюзу виртуальной сети Azure | Эта политика гарантирует, что все подключения шлюза виртуальной сети Azure используют настраиваемую политику IPsec/IKE. Поддерживаемые алгоритмы и сила ключа — https://aka.ms/AA62kb0 | Audit, Disabled | 1.0.0 |
| Все ресурсы журнала потоков должны быть включены в состоянии | Выполните аудит ресурсов журнала потоков, чтобы проверить, включено ли состояние журнала потоков. Включение журналов потоков позволяет регистрировать сведения о потоке IP-трафика. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.0.1 |
| Настройка журналов потоков аудита для каждой виртуальной сети | Аудит виртуальной сети, чтобы проверить, настроены ли журналы потоков. Включение журналов потоков позволяет регистрировать сведения о IP-трафике, потокуемом через виртуальную сеть. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.0.1 |
| Шлюз приложений Azure следует развернуть с помощью Azure WAF | Требуется, чтобы ресурсы Шлюз приложений Azure развертывались с помощью Azure WAF. | Audit, Deny, Disabled | 1.0.0 |
| Шлюз приложений Azure должен включать журналы ресурсов | Включите журналы ресурсов для Шлюз приложений Azure (плюс WAF) и потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. | AuditIfNotExists, Disabled | 1.0.0 |
| Защита от атак DDoS Azure должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. | AuditIfNotExists, Disabled | 3.0.1 |
| Брандмауэр Azure классические правила следует перенести в политику брандмауэра | Переход с Брандмауэр Azure классических правил в политику брандмауэра для использования центральных средств управления, таких как диспетчер Брандмауэр Azure. | Audit, Deny, Disabled | 1.0.0 |
| Брандмауэр Azure Аналитика политик должна быть включена | Включение аналитики политик обеспечивает улучшенную видимость трафика, который проходит через Брандмауэр Azure, что позволяет оптимизировать конфигурацию брандмауэра без влияния на производительность приложения. | Audit, Disabled | 1.0.0 |
| Политика Брандмауэр Azure должна включить аналитику угроз | Фильтрация на основе Microsoft Threat Intelligence может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence. | Audit, Deny, Disabled | 1.0.0 |
| Брандмауэр Azure политика должна иметь dns-прокси-сервер | Включение DNS-прокси сделает Брандмауэр Azure, связанные с этой политикой, чтобы прослушивать порт 53 и пересылать DNS-запросы на указанный DNS-сервер. | Audit, Disabled | 1.0.0 |
| Брандмауэр Azure следует развернуть для нескольких Зоны доступности | Для повышения доступности рекомендуется развернуть Брандмауэр Azure для охвата нескольких Зоны доступности. Это гарантирует, что Брандмауэр Azure останется доступным в случае сбоя зоны. | Audit, Deny, Disabled | 1.0.0 |
| Брандмауэр Azure "Стандартный" — классические правила должны включать аналитику угроз | Фильтрация на основе Microsoft Threat Intelligence может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence. | Audit, Deny, Disabled | 1.0.0 |
| Брандмауэр Azure уровня "Стандартный" необходимо обновить до уровня "Премиум" для защиты следующего поколения | Если вы ищете защиту следующего поколения, например проверку IDPS и TLS, следует рассмотреть возможность обновления Брандмауэр Azure до номера SKU уровня "Премиум". | Audit, Deny, Disabled | 1.0.0 |
| В Azure Front Door должны быть включены журналы ресурсов | Включите журналы ресурсов для Azure Front Door (плюс WAF) и выполните потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. | AuditIfNotExists, Disabled | 1.0.0 |
| Шлюзы VPN Azure не должны использовать SKU уровня "Базовый" | Эта политика гарантирует, что шлюзы VPN не будут использовать SKU уровня "Базовый". | Audit, Disabled | 1.0.0 |
| Брандмауэр веб-приложений В Шлюз приложений Azure Azure Шлюз приложений Azure должна быть включена проверка тела запроса | Убедитесь, что Брандмауэр веб-приложений, связанные с Шлюз приложений Azure, включены проверки тела запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. | Audit, Deny, Disabled | 1.0.0 |
| Служба Azure Брандмауэр веб-приложений в Azure Front Door должна включать проверку текста запроса | Убедитесь, что Брандмауэр веб-приложений, связанные с Azure Front Door, включили проверку тела запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. | Audit, Deny, Disabled | 1.0.0 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| Защита ботов должна быть включена для Шлюз приложений Azure WAF | Эта политика гарантирует, что защита бота включена во всех политиках Шлюз приложений Azure Брандмауэр веб-приложений (WAF) | Audit, Deny, Disabled | 1.0.0 |
| Защита ботов должна быть включена для WAF Azure Front Door | Эта политика гарантирует, что защита бота включена во всех политиках azure Front Door Брандмауэр веб-приложений (WAF) | Audit, Deny, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID больших двоичных объектов | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID больших двоичных объектов. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID blob_secondary | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID blob_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID dfs | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID dfs. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID dfs_secondary | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID dfs_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID файлов | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID файлов. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID очередей | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID очередей. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID queue_secondary | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID queue_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID таблиц | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID таблиц. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID table_secondary | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID table_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID в Интернете | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID в Интернете. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка идентификатора частной зоны DNS для groupID web_secondary | Настройте группу частных зон DNS, чтобы переопределить разрешение DNS для частной конечной точки groupID web_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка приложений Службы приложений для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывает виртуальную сеть со службой приложений. См. дополнительные сведения: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка областей приватного канала Azure Arc для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью, чтобы связать ее с областью приватного канала Azure Arc. См. дополнительные сведения: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Настройка учетных записей службы автоматизации Azure с частными зонами DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Для подключения к учетной записи службы автоматизации Azure через Приватный канал Azure требуется правильная настройка частной зоны DNS. См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Кэша Azure для Redis для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS может быть связана с вашей виртуальной сетью для разрешения на Кэш Azure для Redis. См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка служб Когнитивного поиска Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в службу "Когнитивный поиск Azure". См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка рабочей области Azure Databricks для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения рабочих областей Azure Databricks. См. дополнительные сведения: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка учетных записей Обновления устройств Azure для Центра Интернета вещей для использования частных зон DNS | Azure DNS предоставляет надежную и защищенную службу DNS для разрешения доменных имен в виртуальных сетях, позволяя обойтись без поддержки собственной системы DNS. Вы можете использовать частные зоны DNS, чтобы переопределить разрешение DNS с помощью собственных настраиваемых доменных имен для частной конечной точки. Эта политика позволяет развернуть Частную зону DNS для частных конечных точек Обновления устройств для Центра Интернета вещей. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка использования частных зон DNS для Синхронизации файлов Azure | Чтобы получить доступ к частным конечным точкам для интерфейсов ресурсов службы синхронизации хранилища с зарегистрированного сервера, необходимо настроить DNS для разрешения правильных имен в частные IP-адреса частной конечной точки. Эта политика позволяет создать требуемую Частную зону DNS Azure и записи A для интерфейсов частных конечных точек службы синхронизации хранилища. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка кластеров Azure HDInsight для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в кластеры Azure HDInsight. См. дополнительные сведения: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка использования частных зон DNS для хранилищ ключей Azure | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в хранилище ключей. См. дополнительные сведения: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка рабочей области машинного обучения Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в рабочие области Машинного обучения Azure. См. дополнительные сведения: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка рабочих областей Azure Managed Grafana для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения рабочих областей Azure Managed Grafana. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Служб мультимедиа Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в учетные записи Служб мультимедиа. См. дополнительные сведения: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Служб мультимедиа Azure с частными конечными точками | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки со Службами мультимедиа, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка использования частных зон DNS для ресурсов Миграции Azure | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в проект службы "Миграция Azure". См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка области приватного канала Azure Monitor при использовании частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью, чтобы связать ее с областью приватного канала Azure Monitor. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка использования частных зон DNS для рабочих областей Azure Synapse | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в рабочую область Azure Synapse. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Настройка ресурсов hostpool виртуального рабочего стола Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения ресурсов Виртуального рабочего стола Azure. См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка ресурсов рабочей области Виртуального рабочего стола Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения ресурсов Виртуального рабочего стола Azure. См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка использования частных зон DNS для службы Azure Web PubSub | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в службу Azure Web PubSub. См. дополнительные сведения: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка использования частных зон DNS для ресурсов BotService | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью, чтобы разрешить связанные с BotService ресурсы. См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка учетных записей Cognitive Services для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в учетные записи Cognitive Services. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка реестров контейнеров для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в Реестр контейнеров. Дополнительные сведения см. здесь: https://aka.ms/privatednszone и https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка учетных записей Cosmos DB для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в учетную запись Cosmos DB. См. дополнительные сведения: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Настройка параметров диагностики для групп безопасности сети Azure в рабочей области "Аналитика журналов" | Разверните параметры диагностики в группах безопасности сети Azure для потоковой передачи журналов ресурсов в рабочую область Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка использования частных зон DNS для ресурсов доступа к диску | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в управляемый диск. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка пространств имен концентратора событий для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в пространство имен концентратора событий. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка экземпляров Подготовки устройств к добавлению в Центр Интернета вещей для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с вашей виртуальной сетью для разрешения в экземпляр Службы подготовки устройств к добавлению в Центр Интернета вещей. См. дополнительные сведения: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка групп безопасности сети для включения аналитики трафика | Аналитику трафика можно включить для всех групп безопасности сети, размещенных в определенном регионе, с параметрами, предоставленными во время создания политики. Если аналитика трафика уже включена, политика не перезаписывает ее параметры. Журналы потоков также включены для групп безопасности сети без аналитики трафика. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | DeployIfNotExists, Disabled | 1.2.0 |
| Настройка групп безопасности сети для использования конкретной рабочей области, учетной записи хранения и политики хранения потоков для аналитики трафика | Если аналитика трафика уже включена, политика перезапишет существующие параметры теми параметрами, которые были предоставлены при создании политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | DeployIfNotExists, Disabled | 1.2.0 |
| Настройка частных зон DNS для частных конечных точек с подключением к Конфигурации приложений | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS может быть связана с вашей виртуальной сетью для разрешения экземпляров Конфигурации приложений. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка частных зон DNS для частных конечных точек, подключаемых к Фабрике данных Azure | Записи частной зоны DNS позволяют устанавливать частные подключения к частным конечным точкам. Частные подключения к конечным точкам предоставляют безопасную связь, обеспечивая частное подключение к вашей Фабрике данных Azure без необходимости использования общедоступных IP-адресов в источнике или месте назначения. Дополнительные сведения о частных конечных точках и зонах DNS в фабрике данных Azure см. в разделе https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Приватного канала для Azure AD с целью использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в Azure AD. См. дополнительные сведения: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка пространств имен служебной шины для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в пространство имен служебной шины. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка виртуальной сети для включения журнала потоков и аналитики трафика | Аналитика трафика и журналы потоков можно включить для всех виртуальных сетей, размещенных в определенном регионе, с параметрами, указанными во время создания политики. Эта политика не перезаписывает текущий параметр для виртуальных сетей, которые уже имеют эту функцию. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | DeployIfNotExists, Disabled | 1.1.1 |
| Настройка виртуальных сетей для применения рабочей области, учетной записи хранения и интервала хранения для журналов потоков и аналитики трафика | Если виртуальная сеть уже включена аналитика трафика, эта политика перезаписывает существующие параметры с указанными во время создания политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | DeployIfNotExists, Disabled | 1.1.2 |
| Развертывание — настройка доменов Сетки событий Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. См. дополнительные сведения: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Развертывание — настройка разделов Сетки событий Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. См. дополнительные сведения: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Развертывание — настройка Центров Интернета вещей Azure для использования частных зон DNS | Azure DNS предоставляет надежную и защищенную службу DNS для разрешения доменных имен в виртуальных сетях, позволяя обойтись без поддержки собственной системы DNS. Вы можете использовать частные зоны DNS, чтобы переопределить разрешение DNS с помощью собственных настраиваемых доменных имен для частной конечной точки. Эта политика позволяет развернуть Частную зону DNS для частных конечных точек Центра Интернета вещей. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Развертывание настройка IoT Central для использования частных зон DNS | Azure DNS предоставляет надежную и защищенную службу DNS для разрешения доменных имен в виртуальных сетях, позволяя обойтись без поддержки собственной системы DNS. Вы можете использовать частные зоны DNS, чтобы переопределить разрешение DNS с помощью собственных настраиваемых доменных имен для частной конечной точки. Эта политика позволяет развернуть Частную зону DNS для частных конечных точек IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание — настройка частных зон DNS для частных конечных точек с подключением к Службе Azure SignalR | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в ресурс Службы Azure SignalR. См. дополнительные сведения: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание — настройка частных зон DNS для частных конечных точек с подключением к учетным записям пакетной службы | Записи частной зоны DNS позволяют устанавливать частные подключения к частным конечным точкам. Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей пакетной службы в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках и зонах DNS в пакетной службе: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание ресурса журнала потоков в целевой группе безопасности сети | Настраивает журнал потоков для определенной группы безопасности сети. Это позволяет регистрировать сведения об IP-трафике, передаваемом через группу безопасности сети. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. | deployIfNotExists | 1.1.0 |
| Развертывание ресурса журнала потоков с целевой виртуальной сетью | Настраивает журнал потоков для конкретной виртуальной сети. Он позволит регистрировать сведения о IP-трафике, проходящим через виртуальную сеть. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. | DeployIfNotExists, Disabled | 1.1.1 |
| Развертывание параметров диагностики для групп безопасности сети | Эта политика обеспечивает автоматическое развертывание параметров диагностики в группах безопасности сети. Будет автоматически создана учетная запись хранения с именем "{storagePrefixParameter}{NSGLocation}". | deployIfNotExists | 2.0.1 |
| Развертывание наблюдателя за сетями при создании виртуальных сетей | Эта политика создает ресурс наблюдателя за сетями в регионах с виртуальными сетями. Необходимо обеспечить наличие группы ресурсов с именем networkWatcherRG, которая будет использоваться для развертывания экземпляров наблюдателя за сетями. | Развернуть, если не существует | 1.0.0 |
| Включение ведения журнала по группе категорий для шлюзов приложений (microsoft.network/applicationgateways) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для шлюзов приложений (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для шлюзов приложений (microsoft.network/applicationgateways) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для шлюзов приложений (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для шлюзов приложений (microsoft.network/applicationgateways) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для шлюзов приложений (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для Бастионов (microsoft.network/bastionhosts) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для бастионов (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группе категорий для бастионов (microsoft.network/bastionhosts) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для бастионов (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для бастионов (microsoft.network/bastionhosts) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения бастионов (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группам категорий для каналов ExpressRoute (microsoft.network/expressroutecircuits) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для каналов ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группам категорий для каналов ExpressRoute (microsoft.network/expressroutecircuits) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для каналов ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группам категорий для каналов ExpressRoute (microsoft.network/expressroutecircuits) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для каналов ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для брандмауэра (microsoft.network/azurefirewalls) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для брандмауэра (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для брандмауэров (microsoft.network/azurefirewalls) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для брандмауэров (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для брандмауэров (microsoft.network/azurefirewalls) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для брандмауэров (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для брандмауэров (microsoft.network/azurefirewalls) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для брандмауэров (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для профилей Front Door и CDN (microsoft.network/frontdoors) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для профилей Front Door и CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группам категорий для профилей Front Door и CDN (microsoft.network/frontdoors) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для профилей Front Door и CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для профилей Front Door и CDN (microsoft.network/frontdoors) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для профилей Front Door и CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для подсистем балансировки нагрузки (microsoft.network/loadbalancers) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для подсистем балансировки нагрузки (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для подсистем балансировки нагрузки (microsoft.network/loadbalancers) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для подсистем балансировки нагрузки (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для подсистем балансировки нагрузки (microsoft.network/loadbalancers) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для подсистем балансировки нагрузки (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/dnsresolverpolicies в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/dnsresolverpolicies в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/dnsresolverpolicies в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkmanagers/ipampools в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkmanagers/ipampools в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkmanagers/ipampools в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/networksecurityperimeters в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/networksecurityperimeters в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/networksecurityperimeters в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для microsoft.network/vpngateways в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/vpngateways в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/vpngateways в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkanalytics/dataproducts в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkanalytics/dataproducts в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkanalytics/dataproducts в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/baremetalmachines в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/baremetalmachines в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/baremetalmachines в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/clusters в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/clusters в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/clusters в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/storageappliances в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/storageappliances в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkcloud/storageappliances в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkfunction/azuretrafficcollectors в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkfunction/azuretrafficcollectors в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkfunction/azuretrafficcollectors в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для диспетчеров сетей (microsoft.network/networkmanagers) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для сетевых менеджеров (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для диспетчеров сетей (microsoft.network/networkmanagers) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для диспетчеров сети (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для диспетчеров сетей (microsoft.network/networkmanagers) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для диспетчеров сети (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для групп безопасности сети (microsoft.network/networksecuritygroups) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для групп безопасности сети (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для групп безопасности сети (microsoft.network/networksecuritygroups) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для групп безопасности сети (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для групп безопасности сети (microsoft.network/networksecuritygroups) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для групп безопасности сети (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для общедоступных IP-адресов (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для общедоступных IP-адресов (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для общедоступных IP-адресов (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для префиксов общедоступного IP-адреса (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для префиксов общедоступного IP-адреса (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для виртуальных сетей (microsoft.network/virtualnetworks) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для виртуальных сетей (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для виртуальных сетей (microsoft.network/virtualnetworks) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для виртуальных сетей (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для виртуальных сетей (microsoft.network/virtualnetworks) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для виртуальных сетей (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение правила ограничения скорости для защиты от атак DDoS на WAF Azure Front Door | Правило ограничения скорости Брандмауэра веб-приложений Azure (WAF) для Azure Front Door управляет разрешенным количеством запросов от определенного IP-адреса клиента к приложению в течение длительности ограничения скорости. | Audit, Deny, Disabled | 1.0.0 |
| Журналы потоков должны быть настроены для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.1.0 |
| Подсети шлюза не следует настраивать с использованием группы безопасности сети. | Эта политика запрещает настройку подсети шлюза с помощью группы безопасности сети. Назначение группы безопасности сети для подсети шлюза приведет к тому, что шлюз перестанет работать. | запретить | 1.0.0 |
| Миграция WAF из WAF Config в политику WAF на Шлюз приложений | Если у вас есть конфигурация WAF вместо политики WAF, может потребоваться перейти к новой политике WAF. В дальнейшем политика брандмауэра будет поддерживать параметры политики WAF, управляемые наборы правил, исключения и отключенные группы правил. | Audit, Deny, Disabled | 1.0.0 |
| Сетевые интерфейсы должны быть подключены к утвержденной подсети утвержденной виртуальной сети. | Эта политика блокирует подключение сетевых интерфейсов к виртуальной сети или подсети, которая не утверждена. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Сетевые интерфейсы должны отключить перенаправление IP-адресов | Эта политика запрещает сетевые интерфейсы с включенным IP-перенаправлением. Параметр "IP-перенаправление" отключает проверку источника и назначения для сетевого интерфейса, выполняемую Azure. Эта команда должна быть проверена командой безопасности сети. | запретить | 1.0.0 |
| Сетевые интерфейсы не должны иметь общедоступных IP-адресов | Эта политика запрещает сетевые интерфейсы, настроенные с помощью любого общедоступного IP-адреса. Общедоступные IP-адреса позволяют интернет-ресурсам устанавливать входящие подключения к ресурсам Azure, а ресурсам Azure — исходящие подключения к Интернету. Эта команда должна быть проверена командой безопасности сети. | запретить | 1.0.0 |
| В журналах потоков Наблюдателя за сетями должна быть включена аналитика трафика | Аналитика трафика анализирует журналы потоков для предоставления аналитических сведений о потоке трафика в облаке Azure. Ее можно использовать для визуализации сетевых операций в подписках Azure и выявления активных зон, выявления угроз безопасности, анализа тенденций в потоке трафика, определения проблем с сетью и т. д. | Audit, Disabled | 1.0.1 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| Общедоступные IP-адреса должны иметь журналы ресурсов, включенные для защиты от атак DDoS Azure | Включите журналы ресурсов для общедоступных IP-адресов в параметрах диагностики, чтобы выполнять потоковую передачу данных в рабочую область Log Analytics. Получите подробные сведения о трафике атаки и действиях, предпринятых для защиты от атак DDoS, используя уведомления, отчеты и журналы потоков. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные центры должны быть защищены с помощью Брандмауэр Azure | Разверните Брандмауэр Azure в виртуальных центрах для защиты и детального управления исходящим трафиком интернета и входящего трафика. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны быть подключены к утвержденной виртуальной сети | Эта политика используется для аудита любой виртуальной машины, подключенной к виртуальной сети, которая не утверждена. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные сети должны быть защищены защитой от атак DDoS Azure | Защита виртуальных сетей от атак томных и протоколов с помощью защиты от атак DDoS Azure. Дополнительные сведения см. на странице https://aka.ms/ddosprotectiondocs. | Modify, Audit, Disabled | 1.0.1 |
| Виртуальным сетям следует использовать указанный шлюз виртуальной сети | Эта политика используется для аудита любой виртуальной сети, если маршрут по умолчанию не указывает на конкретный шлюз виртуальной сети. | AuditIfNotExists, Disabled | 1.0.0 |
| VPN-шлюзы должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть" | Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзам потребуются для проверки подлинности только удостоверения Azure Active Directory. Дополнительные сведения о проверке подлинности Azure AD см. в статье, доступной по адресу https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
| Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. | Audit, Deny, Disabled | 1.0.0 |
| Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по