Säkerhetsrekommendationer

Artikel
04/01/2024

I den här artikeln visas alla säkerhetsrekommendationer som du kan se i Microsoft Defender för molnet. Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.

Rekommendationer i Defender för molnet baseras på Microsofts prestandamått för molnsäkerhet. Microsofts prestandamått för molnsäkerhet är den Microsoft-skapade uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad. Detta allmänt respekterade riktmärke bygger på kontroller från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST), med fokus på molncentrerad säkerhet.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.

Din säkerhetspoäng baseras på antalet säkerhetsrekommendationer som du har slutfört. Om du vill bestämma vilka rekommendationer som ska lösas först kan du titta på allvarlighetsgraden för varje rekommendation och dess potentiella inverkan på din säkerhetspoäng.

Dricks

Om en rekommendations beskrivning säger Ingen relaterad princip beror det vanligtvis på att rekommendationen är beroende av en annan rekommendation och dess princip.

Rekommendationen Slutpunktsskyddshälsofel bör till exempel åtgärdas förlitar sig på rekommendationen som kontrollerar om en slutpunktsskyddslösning ens är installerad (Slutpunktsskyddslösningen ska installeras). Den underliggande rekommendationen har en princip. Att begränsa principerna till endast den grundläggande rekommendationen förenklar principhanteringen.

AppServices-rekommendationer

API-appen bör endast vara tillgänglig via HTTPS

Beskrivning: Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. (Relaterad princip: API-appen ska endast vara tillgänglig via HTTPS).

Allvarlighetsgrad: Medel

CORS bör inte tillåta att alla resurser får åtkomst till API Apps

Beskrivning: Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din API-app. Tillåt endast att nödvändiga domäner interagerar med din API-app. (Relaterad princip: CORS bör inte tillåta att alla resurser får åtkomst till din API-app).

Allvarlighetsgrad: Låg

CORS bör inte tillåta att alla resurser får åtkomst till Funktionsappar

Beskrivning: Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. (Relaterad princip: CORS bör inte tillåta att alla resurser får åtkomst till dina funktionsappar).

Allvarlighetsgrad: Låg

CORS bör inte tillåta att alla resurser får åtkomst till webbprogram

Beskrivning: Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till webbprogrammet. Tillåt endast att nödvändiga domäner interagerar med din webbapp. (Relaterad princip: CORS bör inte tillåta att alla resurser får åtkomst till dina webbprogram).

Allvarlighetsgrad: Låg

Diagnostikloggar i App Service ska vara aktiverade

Beskrivning: Granska aktivering av diagnostikloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats (ingen relaterad princip).

Allvarlighetsgrad: Medel

Se till att API-appen har klientcertifikat inkommande klientcertifikat inställda på På

Beskrivning: Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. (Relaterad princip: Se till att API-appen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På").

Allvarlighetsgrad: Medel

FTPS bör krävas i API-appar

Beskrivning: Aktivera FTPS-tillämpning för förbättrad säkerhet (Relaterad princip: FTPS bör endast krävas i DIN API-app).

Allvarlighetsgrad: Hög

FTPS bör krävas i funktionsappar

Beskrivning: Aktivera FTPS-tillämpning för förbättrad säkerhet (Relaterad princip: FTPS bör endast krävas i funktionsappen).

Allvarlighetsgrad: Hög

FTPS bör krävas i webbappar

Beskrivning: Aktivera FTPS-tillämpning för förbättrad säkerhet (Relaterad princip: FTPS bör krävas i webbappen).

Allvarlighetsgrad: Hög

Funktionsappen ska endast vara tillgänglig via HTTPS

Allvarlighetsgrad: Medel

Funktionsappar bör ha klientcertifikat (inkommande klientcertifikat) aktiverade

Beskrivning: Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. (Relaterad princip: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat).

Allvarlighetsgrad: Medel

Java bör uppdateras till den senaste versionen för API-appar

Beskrivning: Med jämna mellanrum släpps nyare versioner för Java antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Med den senaste Python-versionen för API-appar rekommenderar vi att du drar nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att Java-versionen är den senaste, om den används som en del av API-appen).

Allvarlighetsgrad: Medel

Hanterad identitet ska användas i API-appar

Beskrivning: Använd en hanterad identitet för förbättrad autentiseringssäkerhet. I Azure eliminerar hanterade identiteter behovet av att utvecklare måste hantera autentiseringsuppgifter genom att tillhandahålla en identitet för Azure-resursen i Azure AD och använda den för att hämta Azure Active Directory-token (Azure AD). (Relaterad princip: Hanterad identitet ska användas i din API-app).

Allvarlighetsgrad: Medel

Hanterad identitet ska användas i funktionsappar

Allvarlighetsgrad: Medel

Hanterad identitet ska användas i webbappar

Allvarlighetsgrad: Medel

Microsoft Defender för App Service ska vara aktiverat

Beskrivning: Microsoft Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. Microsoft Defender för App Service kan identifiera attacker mot dina program och identifiera nya attacker.

Viktigt: Om du åtgärdar den här rekommendationen debiteras du för att skydda dina App Service-planer. Om du inte har några App Service-planer i den här prenumerationen debiteras inga avgifter. Om du skapar några App Service-planer för den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer i Skydda dina webbappar och API:er. (Relaterad princip: Azure Defender för App Service ska vara aktiverat).

Allvarlighetsgrad: Hög

PHP bör uppdateras till den senaste versionen för API-appar

Beskrivning: Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för API-appar rekommenderas att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att PHP-versionen är den senaste, om den används som en del av API-appen).

Allvarlighetsgrad: Medel

Python bör uppdateras till den senaste versionen för API-appar

Beskrivning: Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsfel eller för att inkludera ytterligare funktioner. Med den senaste Python-versionen för API-appar rekommenderar vi att du drar nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att Python-versionen är den senaste, om den används som en del av API-appen).

Allvarlighetsgrad: Medel

Fjärrfelsökning ska inaktiveras för API-appen

Beskrivning: Fjärrfelsökning kräver att inkommande portar öppnas i en API-app. Fjärrfelsökning ska stängas av. (Relaterad princip: Fjärrfelsökning bör inaktiveras för API Apps).

Allvarlighetsgrad: Låg

Fjärrfelsökning ska stängas av för funktionsappen

Beskrivning: Fjärrfelsökning kräver att inkommande portar öppnas i en Azure-funktionsapp. Fjärrfelsökning ska stängas av. (Relaterad princip: Fjärrfelsökning bör inaktiveras för Funktionsappar).

Allvarlighetsgrad: Låg

Fjärrfelsökning bör stängas av för webbprogram

Beskrivning: Fjärrfelsökning kräver att inkommande portar öppnas i ett webbprogram. Fjärrfelsökning är för närvarande aktiverat. Om du inte längre behöver använda fjärrfelsökning bör den stängas av. (Relaterad princip: Fjärrfelsökning bör stängas av för webbprogram).

Allvarlighetsgrad: Låg

TLS bör uppdateras till den senaste versionen för API-appar

Beskrivning: Uppgradera till den senaste TLS-versionen. (Relaterad princip: Den senaste TLS-versionen ska användas i din API-app).

Allvarlighetsgrad: Hög

TLS bör uppdateras till den senaste versionen för funktionsappar

Beskrivning: Uppgradera till den senaste TLS-versionen. (Relaterad princip: Den senaste TLS-versionen ska användas i funktionsappen).

Allvarlighetsgrad: Hög

TLS bör uppdateras till den senaste versionen för webbappar

Beskrivning: Uppgradera till den senaste TLS-versionen. (Relaterad princip: Den senaste TLS-versionen ska användas i webbappen).

Allvarlighetsgrad: Hög

Webbprogrammet ska endast vara tillgängligt via HTTPS

Allvarlighetsgrad: Medel

Webbappar bör begära ett SSL-certifikat för alla inkommande begäranden

Beskrivning: Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. (Relaterad princip: Se till att WEBBappen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På").

Allvarlighetsgrad: Medel

Beräkningsrekommendationer

Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer

Beskrivning: Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Defender för molnet maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. (Relaterad princip: Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer).

Allvarlighetsgrad: Hög

Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras

Beskrivning: Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Defender för molnet anpassningsbara programkontroller. Defender för molnet använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. (Relaterad princip: Tillåtlistningsregler i din princip för anpassningsbar programkontroll bör uppdateras).

Allvarlighetsgrad: Hög

Autentisering till Linux-datorer bör kräva SSH-nycklar

Beskrivning: Även om SSH själv tillhandahåller en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer i Detaljerade steg: Skapa och hantera SSH-nycklar för autentisering till en virtuell Linux-dator i Azure. (Relaterad princip: Granska Linux-datorer som inte använder SSH-nyckel för autentisering).

Allvarlighetsgrad: Medel

Automation-kontovariabler ska krypteras

Beskrivning: Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras. (Relaterad princip: Automation-kontovariabler ska krypteras).

Allvarlighetsgrad: Hög

Azure Backup ska vara aktiverat för virtuella datorer

Beskrivning: Skydda data på dina virtuella Azure-datorer med Azure Backup. Azure Backup är en Azure-inbyggd, kostnadseffektiv dataskyddslösning. Den skapar återställningspunkter som lagras i geo-redundanta återställningsvalv. När du återställer från en återställningspunkt kan du återställa hela den virtuella datorn eller specifika filer. (Relaterad princip: Azure Backup ska vara aktiverat för virtuella datorer).

Allvarlighetsgrad: Låg

Containervärdar ska konfigureras på ett säkert sätt

Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat för att skydda dem från attacker. (Relaterad princip: Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas).

Allvarlighetsgrad: Hög

Diagnostikloggar i Azure Stream Analytics ska vara aktiverade

Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Azure Stream Analytics ska vara aktiverade).

Allvarlighetsgrad: Låg

Diagnostikloggar i Batch-konton ska vara aktiverade

Allvarlighetsgrad: Låg

Diagnostikloggar i Event Hubs ska vara aktiverade

Allvarlighetsgrad: Låg

Diagnostikloggar i Logic Apps ska vara aktiverade

Beskrivning: Aktivera loggning för att säkerställa att du kan återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller om nätverket har komprometterats. Om diagnostikloggarna inte skickas till en Log Analytics-arbetsyta, Ett Azure Storage-konto eller Azure Event Hubs kontrollerar du att du har konfigurerat diagnostikinställningar för att skicka plattformsmått och plattformsloggar till relevanta mål. Läs mer i Skapa diagnostikinställningar för att skicka plattformsloggar och mått till olika mål. (Relaterad princip: Diagnostikloggar i Logic Apps ska vara aktiverade).

Allvarlighetsgrad: Låg

Diagnostikloggar i tjänsten Search ska vara aktiverade

Allvarlighetsgrad: Låg

Diagnostikloggar i Service Bus ska vara aktiverade

Allvarlighetsgrad: Låg

Diagnostikloggar i VM-skalningsuppsättningar ska vara aktiverade

Allvarlighetsgrad: Hög

Identifiering och åtgärd på slutpunkt konfigurationsproblem bör lösas på virtuella datorer

Beskrivning: Lös alla identifierade konfigurationsproblem med den installerade lösningen Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) för att skydda virtuella datorer från de senaste hoten och säkerhetsriskerna.
Obs! För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender för Endpoint (MDE) aktiverat.

Allvarlighetsgrad: Låg

Identifiering och åtgärd på slutpunkt lösning bör installeras på virtuella datorer

Beskrivning: Det är viktigt att installera en lösning för slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) på virtuella datorer för skydd mot avancerade hot. Identifiering och åtgärd på slutpunkt hjälper till att förebygga, identifiera, undersöka och svara på dessa hot. Microsoft Defender för servrar kan användas för att distribuera Microsoft Defender för Endpoint. Om en resurs klassificeras som "Inte felfri" anger den avsaknaden av en Identifiering och åtgärd på slutpunkt lösning som stöds. Om en Identifiering och åtgärd på slutpunkt lösning installeras men inte kan identifieras av den här rekommendationen kan den undantas. Utan en Identifiering och åtgärd på slutpunkt lösning riskerar de virtuella datorerna att utsättas för avancerade hot.

Allvarlighetsgrad: Hög

Problem med slutpunktsskyddshälsa på vm-skalningsuppsättningar bör lösas

Beskrivning: Åtgärda hälsofel för slutpunktsskydd på vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. (Relaterad princip: Slutpunktsskyddslösningen bör installeras på vm-skalningsuppsättningar).

Allvarlighetsgrad: Låg

Slutpunktsskydd ska installeras på VM-skalningsuppsättningar

Beskrivning: Installera en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. (Relaterad princip: Slutpunktsskyddslösningen bör installeras på vm-skalningsuppsättningar).

Allvarlighetsgrad: Hög

Övervakning av filintegritet ska aktiveras på datorer

Beskrivning: Defender för molnet har identifierat datorer som saknar en lösning för övervakning av filintegritet. Aktivera övervakning av filintegritet om du vill övervaka ändringar i viktiga filer, registernycklar med mera på dina servrar. När övervakningslösningen för filintegritet är aktiverad skapar du regler för datainsamling för att definiera de filer som ska övervakas. Om du vill definiera regler eller se de filer som har ändrats på datorer med befintliga regler går du till sidan för hantering av filintegritetsövervakning. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds

Beskrivning: Installera gästattesteringstillägget på skalningsuppsättningar för virtuella Linux-datorer som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast för betrodda startaktiverade skalningsuppsättningar för virtuella Linux-datorer.

Viktigt: Betrodd start kräver att nya virtuella datorer skapas. Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den. Läs mer om betrodd start för virtuella Azure-datorer. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Gästattesteringstillägget bör installeras på virtuella Linux-datorer som stöds

Beskrivning: Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast betrodda startaktiverade virtuella Linux-datorer.

Allvarlighetsgrad: Låg

Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds

Beskrivning: Installera gästattesteringstillägget på vm-skalningsuppsättningar som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast för betrodda startaktiverade vm-skalningsuppsättningar.

Allvarlighetsgrad: Låg

Gästattesteringstillägget bör installeras på virtuella Windows-datorer som stöds

Beskrivning: Installera gästattesteringstillägget på virtuella datorer som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer.

Allvarlighetsgrad: Låg

Gästkonfigurationstillägget ska installeras på datorer

Beskrivning: Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel Windows Exploit guard, ska vara aktiverade. (Relaterad princip: Virtuella datorer ska ha gästkonfigurationstillägget).

Allvarlighetsgrad: Medel

Installera slutpunktsskyddslösning på virtuella datorer

Beskrivning: Installera en slutpunktsskyddslösning på dina virtuella datorer för att skydda dem mot hot och sårbarheter. (Relaterad princip: Övervaka saknat Endpoint Protection i Azure Security Center).

Allvarlighetsgrad: Hög

Virtuella Linux-datorer bör framtvinga validering av kernelmodulens signatur

Beskrivning: För att minimera körningen av skadlig eller obehörig kod i kernelläge, framtvinga verifiering av kernelmodulens signatur på virtuella Linux-datorer som stöds. Validering av kernelmodulens signatur säkerställer att endast betrodda kernelmoduler tillåts köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter

Beskrivning: Med Säker start aktiverat måste alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) signeras av betrodda utgivare. Defender för molnet har identifierat ej betrodda operativsystemsstartkomponenter på en eller flera av dina Linux-datorer. Om du vill skydda dina datorer från potentiellt skadliga komponenter lägger du till dem i listan över tillåtna eller tar bort de identifierade komponenterna. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Virtuella Linux-datorer bör använda säker start

Beskrivning: Aktivera Säker start på virtuella Linux-datorer som stöds för att skydda mot installation av rotkits och startpaket baserade på skadlig kod. Säker start säkerställer att endast signerade operativsystem och drivrutiner tillåts köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Log Analytics-agenten bör installeras på Linux-baserade Azure Arc-aktiverade datorer

Beskrivning: Defender för molnet använder Log Analytics-agenten (även kallat OMS) för att samla in säkerhetshändelser från dina Azure Arc-datorer. Om du vill distribuera agenten på alla dina Azure Arc-datorer följer du reparationsstegen. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Log Analytics-agenten ska installeras på VM-skalningsuppsättningar

Beskrivning: Defender för molnet samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. Data samlas in med Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din arbetsyta för analys. Du måste också följa den proceduren om dina virtuella datorer används av en Azure-hanterad tjänst, till exempel Azure Kubernetes Service eller Azure Service Fabric. Du kan inte konfigurera automatisk etablering av agenten för skalningsuppsättningar för virtuella Azure-datorer. Om du vill distribuera agenten på vm-skalningsuppsättningar (inklusive de som används av Azure-hanterade tjänster som Azure Kubernetes Service och Azure Service Fabric) följer du stegen i reparationsstegen. (Relaterad princip: Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning).

Allvarlighetsgrad: Hög

Log Analytics-agenten bör installeras på virtuella datorer

Beskrivning: Defender för molnet samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. Data samlas in med Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Den här agenten krävs också om dina virtuella datorer används av en Azure-hanterad tjänst, till exempel Azure Kubernetes Service eller Azure Service Fabric. Vi rekommenderar att du konfigurerar automatisk etablering så att agenten distribueras automatiskt. Om du väljer att inte använda automatisk etablering distribuerar du agenten manuellt till dina virtuella datorer med hjälp av anvisningarna i reparationsstegen. (Relaterad princip: Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning).

Allvarlighetsgrad: Hög

Log Analytics-agenten bör installeras på Windows-baserade Azure Arc-aktiverade datorer

Beskrivning: Defender för molnet använder Log Analytics-agenten (även kallat MMA) för att samla in säkerhetshändelser från dina Azure Arc-datorer. Om du vill distribuera agenten på alla dina Azure Arc-datorer följer du reparationsstegen. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Datorer bör konfigureras på ett säkert sätt

Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på dina datorer för att skydda dem mot attacker. (Relaterad princip: Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas).

Allvarlighetsgrad: Låg

Datorer bör startas om för att tillämpa säkerhetskonfigurationsuppdateringar

Beskrivning: Starta om datorerna om du vill tillämpa säkerhetskonfigurationsuppdateringar och skydda mot säkerhetsrisker. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Datorer bör ha en lösning för sårbarhetsbedömning

Beskrivning: Defender för molnet regelbundet kontrollerar dina anslutna datorer för att säkerställa att de kör verktyg för sårbarhetsbedömning. Använd den här rekommendationen för att distribuera en lösning för sårbarhetsbedömning. (Relaterad princip: En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer).

Allvarlighetsgrad: Medel

Datorer bör lösa sårbarhetsresultat

Beskrivning: Lös resultaten från lösningarna för sårbarhetsbedömning på dina virtuella datorer. (Relaterad princip: En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer).

Allvarlighetsgrad: Låg

Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk

Beskrivning: Defender för molnet har identifierat några alltför tillåtande regler för inkommande trafik för hanteringsportar i nätverkssäkerhetsgruppen. Aktivera just-in-time-åtkomstkontroll för att skydda den virtuella datorn från internetbaserade brute-force-attacker. Läs mer i Förstå jit-åtkomst (just-in-time) för virtuella datorer. (Relaterad princip: Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk).

Allvarlighetsgrad: Hög

Microsoft Defender för servrar ska vara aktiverat

Beskrivning: Microsoft Defender för servrar ger skydd mot hot i realtid för dina serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina servrar.

Viktigt: Om du åtgärdar den här rekommendationen debiteras du för att skydda dina servrar. Om du inte har några servrar i den här prenumerationen debiteras inga avgifter. Om du skapar några servrar för den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer i Introduktion till Microsoft Defender för servrar. (Relaterad princip: Azure Defender för servrar ska vara aktiverat).

Allvarlighetsgrad: Hög

Microsoft Defender för servrar ska vara aktiverat på arbetsytor

Beskrivning: Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender-planen aktiverad i dina prenumerationer, men inte på dina arbetsytor, betalar du för den fulla kapaciteten hos Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender-planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure-resurser. Läs mer i Introduktion till Microsoft Defender för servrar. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Säker start bör aktiveras på virtuella Windows-datorer som stöds

Beskrivning: Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella Windows-datorer.

Allvarlighetsgrad: Låg

Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign

Beskrivning: Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för nod-till-nod-kommunikation med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden är krypterade och digitalt signerade. (Relaterad princip: Service Fabric-kluster bör ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign).

Allvarlighetsgrad: Hög

Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering

Beskrivning: Utför endast klientautentisering via Azure Active Directory i Service Fabric (relaterad princip: Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering).

Allvarlighetsgrad: Hög

Systemuppdateringar på vm-skalningsuppsättningar ska installeras

Beskrivning: Installera systemsäkerhet som saknas och viktiga uppdateringar för att skydda skalningsuppsättningar för virtuella Windows- och Linux-datorer. (Relaterad princip: Systemuppdateringar på vm-skalningsuppsättningar bör installeras).

Allvarlighetsgrad: Hög

Systemuppdateringar bör installeras på dina datorer

Beskrivning: Installera systemsäkerhet som saknas och viktiga uppdateringar för att skydda dina virtuella Windows- och Linux-datorer (Relaterad princip: Systemuppdateringar bör installeras på dina datorer).

Allvarlighetsgrad: Hög

Systemuppdateringar bör installeras på dina datorer (drivs av Update Center)

Beskrivning: Datorerna saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Vm-skalningsuppsättningar ska konfigureras på ett säkert sätt

Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar för att skydda dem mot attacker. (Relaterad princip: Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas).

Allvarlighetsgrad: Hög

Gästattesteringsstatusen för virtuella datorer bör vara felfri

Beskrivning: Gästattestering utförs genom att skicka en betrodd logg (TCGLog) till en attesteringsserver. Servern använder dessa loggar för att avgöra om startkomponenterna är tillförlitliga. Den här utvärderingen är avsedd att identifiera kompromisser i startkedjan, vilket kan bero på en bootkit- eller rootkit-infektion. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer som har gästattesteringstillägget installerat. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet

Beskrivning: Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer (Relaterad princip: Gästkonfigurationstillägget ska distribueras till virtuella Azure-datorer med systemtilldelad hanterad identitet).

Allvarlighetsgrad: Medel

Virtuella datorer ska migreras till nya Azure Resource Manager-resurser

Beskrivning: Virtuella datorer (klassisk) är inaktuella och dessa virtuella datorer bör migreras till Azure Resource Manager. Eftersom Azure Resource Manager nu har fullständiga IaaS-funktioner och andra framsteg har vi tagit bort hanteringen av virtuella IaaS-datorer via Azure Service Manager (ASM) den 28 februari 2020. Den här funktionen dras tillbaka helt den 1 mars 2023.

Om du vill visa alla berörda klassiska virtuella datorer måste du välja alla dina Azure-prenumerationer under fliken Kataloger + prenumerationer.

Tillgängliga resurser och information om det här verktyget och migreringen: Översikt över utfasning av virtuella datorer (klassisk), steg för steg-process för migrering och tillgängliga Microsoft-resurser.Information om migreringsverktyget för Migrering till Azure Resource Manager.Migrera till Azure Resource Manager-migreringsverktyget med hjälp av PowerShell. (Relaterad princip: Virtuella datorer ska migreras till nya Azure Resource Manager-resurser).

Allvarlighetsgrad: Hög

Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser

Du använder funktionen encryption-at-host, eller 2. Kryptering på serversidan på Managed Disks uppfyller dina säkerhetskrav. Läs mer i Kryptering på serversidan av Azure Disk Storage. (Relaterad princip: Diskkryptering bör tillämpas på virtuella datorer)

Allvarlighetsgrad: Hög

vTPM ska vara aktiverat på virtuella datorer som stöds

Beskrivning: Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer.

Allvarlighetsgrad: Låg

Säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer bör åtgärdas (drivs av gästkonfiguration)

Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer för att skydda dem mot attacker. (Relaterad princip: Linux-datorer bör uppfylla kraven för Azure-säkerhetsbaslinjen).

Allvarlighetsgrad: Låg

Säkerhetsrisker i säkerhetskonfigurationen på dina Windows-datorer bör åtgärdas (drivs av gästkonfiguration)

Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på dina Windows-datorer för att skydda dem mot attacker. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Windows Defender Exploit Guard ska vara aktiverat på datorer

Beskrivning: Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). (Relaterad princip: Granska Windows-datorer där Windows Defender Exploit Guard inte är aktiverat).

Allvarlighetsgrad: Medel

Windows-webbservrar ska konfigureras för att använda säkra kommunikationsprotokoll

Beskrivning: För att skydda sekretessen för information som kommuniceras via Internet bör dina webbservrar använda den senaste versionen av det branschstandardbaserade kryptografiska protokollet Transport Layer Security (TLS). TLS skyddar kommunikationen via ett nätverk med hjälp av säkerhetscertifikat för att kryptera en anslutning mellan datorer. (Relaterad princip: Granska Windows-webbservrar som inte använder säkra kommunikationsprotokoll).

Allvarlighetsgrad: Hög

[Förhandsversion]: Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost

Beskrivning: Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Använd Azure Disk Encryption eller EncryptionAtHost för att kryptera alla dessa data. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. (Relaterad princip: [Förhandsversion]: Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost).

Allvarlighetsgrad: Hög

[Förhandsversion]: Virtuella Windows-datorer ska aktivera Azure Disk Encryption eller EncryptionAtHost

Beskrivning: Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Använd Azure Disk Encryption eller EncryptionAtHost för att kryptera alla dessa data. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. (Relaterad princip: [Förhandsversion]: Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost).

Allvarlighetsgrad: Hög

Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat

Beskrivning: Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer i Använda Azure-portalen för att aktivera kryptering från slutpunkt till slutpunkt med hjälp av kryptering på värden. (Relaterad princip: Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat).

Allvarlighetsgrad: Medel

(Förhandsversion) Azure Stack HCI-servrar bör uppfylla kraven för säkra kärnor

Beskrivning: Se till att alla Azure Stack HCI-servrar uppfyller kraven för skyddad kärna. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).

Allvarlighetsgrad: Låg

(Förhandsversion) Azure Stack HCI-servrar bör ha konsekvent framtvingade principer för programkontroll

Beskrivning: Tillämpa minst Microsoft WDAC-basprincipen i framtvingat läge på alla Azure Stack HCI-servrar. Tillämpade WDAC-principer (Windows Defender Application Control) måste vara konsekventa mellan servrar i samma kluster. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).

Allvarlighetsgrad: Hög

(Förhandsversion) Azure Stack HCI-system ska ha krypterade volymer

Beskrivning: Använd BitLocker för att kryptera operativsystemet och datavolymerna i Azure Stack HCI-system. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).

Allvarlighetsgrad: Hög

(Förhandsversion) Värd- och VM-nätverk bör skyddas på Azure Stack HCI-system

Beskrivning: Skydda data i Azure Stack HCI-värdens nätverk och på nätverksanslutningar för virtuella datorer. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).

Allvarlighetsgrad: Låg

Rekommendationer för containers

[Förhandsversion] Containeravbildningar i Azure-registret bör ha sårbarhetsresultat lösta

Beskrivning: Defender för molnet söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att genomsöka och åtgärda säkerhetsrisker för containeravbildningar i registret kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

[Förhandsversion] Containrar som körs i Azure bör lösa sårbarhetsresultat

Beskrivning: Defender för molnet skapar en inventering av alla containerarbetsbelastningar som för närvarande körs i dina Kubernetes-kluster och tillhandahåller sårbarhetsrapporter för dessa arbetsbelastningar genom att matcha de avbildningar som används och de sårbarhetsrapporter som skapats för registeravbildningarna. Genomsökning och reparation av sårbarheter i containerarbetsbelastningar är viktigt för att säkerställa en robust och säker leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

(Aktivera om det behövs) Containerregister ska krypteras med en kundhanterad nyckel (CMK)

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/acr/CMK. (Relaterad princip: Containerregister ska krypteras med en kundhanterad nyckel (CMK).)

Allvarlighetsgrad: Låg

Typ: Kontrollplan

Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Azure Arc-aktiverade Kubernetes-kluster bör ha Defender-tillägget installerat

Beskrivning: Defender-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla kontrollplansnoder (huvudnoder) i klustret och skickar dem till Microsoft Defender för Kubernetes-serverdelen i molnet för ytterligare analys. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad

Beskrivning: Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender-profilen i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer i Introduktion till Microsoft Defender för containrar. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Azure Kubernetes Service-kluster bör ha Azure Policy-tillägget för Kubernetes installerat

Beskrivning: Azure Policy-tillägget för Kubernetes utökar Gatekeeper v3, en webhook för åtkomstkontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Defender för molnet kräver tillägget för att granska och framtvinga säkerhetsfunktioner och efterlevnad i dina kluster. Läs mer. Kräver Kubernetes v1.14.0 eller senare. (Relaterad princip: Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster).

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Containerregister bör inte tillåta obegränsad nätverksåtkomst

Beskrivning: Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika offentliga IP-adresser eller adressintervall. Om registret inte har någon IP-/brandväggsregel eller ett konfigurerat virtuellt nätverk visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/portal/public-network och här https://aka.ms/acr/vnet. (Relaterad princip: Containerregister bör inte tillåta obegränsad nätverksåtkomst).

Allvarlighetsgrad: Medel

Typ: Kontrollplan

Containerregister bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. (Relaterad princip: Containerregister bör använda privat länk).

Allvarlighetsgrad: Medel

Typ: Kontrollplan

Diagnostikloggar i Kubernetes-tjänster ska vara aktiverade

Beskrivning: Aktivera diagnostikloggar i kubernetes-tjänsterna och behåll dem upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Typ: Kontrollplan

Kubernetes API-server ska konfigureras med begränsad åtkomst

Beskrivning: Begränsa åtkomsten till kubernetes API-servern för att säkerställa att endast program från tillåtna nätverk, datorer eller undernät kan komma åt klustret. Du kan begränsa åtkomsten genom att definiera auktoriserade IP-intervall eller genom att konfigurera dina API-servrar som privata kluster enligt beskrivningen i Skapa ett privat Azure Kubernetes Service-kluster. (Relaterad princip: Auktoriserade IP-intervall bör definieras i Kubernetes Services).

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Rollbaserad åtkomstkontroll ska användas på Kubernetes Services

Beskrivning: Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes-tjänstkluster och konfigurera relevanta auktoriseringsprinciper. (Relaterad princip: Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services).

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Microsoft Defender för containrar ska vara aktiverat

Beskrivning: Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och multimolnsMiljöer för Kubernetes. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar.

Viktigt: Om du åtgärdar den här rekommendationen debiteras du för att skydda dina Kubernetes-kluster. Om du inte har några Kubernetes-kluster i den här prenumerationen debiteras inga avgifter. Om du skapar kubernetes-kluster i den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer i Introduktion till Microsoft Defender för containrar. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Cpu- och minnesgränser för containrar ska tillämpas

Beskrivning: Att framtvinga cpu- och minnesgränser förhindrar resursöverbelastningsattacker (en form av överbelastningsattack).

Vi rekommenderar att du anger gränser för containrar för att säkerställa att körningen förhindrar att containern använder mer än den konfigurerade resursgränsen.

(Relaterad princip: Se till att gränserna för processor- och minnesresurser för containrar inte överskrider de angivna gränserna i Kubernetes-klustret).

Allvarlighetsgrad: Medel

Typ: Kubernetes Data-plan

Containeravbildningar ska endast distribueras från betrodda register

Beskrivning: Bilder som körs i kubernetes-klustret ska komma från kända och övervakade containeravbildningsregister. Betrodda register minskar exponeringsrisken för klustret genom att begränsa risken för att okända säkerhetsrisker, säkerhetsproblem och skadliga bilder introduceras.

(Relaterad princip: Se till att endast tillåtna containeravbildningar i Kubernetes-kluster).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

Container med behörighetseskalering bör undvikas

Beskrivning: Containrar ska inte köras med behörighetseskalering till rot i Kubernetes-klustret. Attributet AllowPrivilegeEscalation styr om en process kan få fler privilegier än den överordnade processen. (Relaterad princip: Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Beskrivning: Undvik poddåtkomst till känsliga värdnamnområden (värdprocess-ID och värd-IPC) i ett Kubernetes-kluster för att skydda mot privilegiereskalering utanför containern. (Relaterad princip: Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Containrar bör endast använda tillåtna AppArmor-profiler

Beskrivning: Containrar som körs i Kubernetes-kluster bör begränsas till endast tillåtna AppArmor-profiler. ; AppArmor (Application Armor) är en Linux-säkerhetsmodul som skyddar ett operativsystem och dess program mot säkerhetshot. För att använda den associerar en systemadministratör en AppArmor-säkerhetsprofil med varje program. (Relaterad princip: Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler).

Allvarlighetsgrad: Hög

Typ: Kubernetes-dataplan

Oföränderligt (skrivskyddat) rotfilsystem ska tillämpas för containrar

Beskrivning: Containrar ska köras med ett skrivskyddat rotfilsystem i Kubernetes-klustret. Oföränderligt filsystem skyddar containrar från ändringar vid körning med skadliga binärfiler som läggs till i PATH. (Relaterad princip: Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Kubernetes-kluster bör endast vara tillgängliga via HTTPS

Beskrivning: Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information https://aka.ms/kubepolicydoc finns i (Relaterad princip: Framtvinga HTTPS-ingress i Kubernetes-kluster).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter

Beskrivning: Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. (Relaterad princip: Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

Kubernetes-kluster bör inte bevilja CAPSYSADMIN-säkerhetsfunktioner

Beskrivning: Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kubernetes-dataplan

Kubernetes-kluster bör inte använda standardnamnområdet

Beskrivning: Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. (Relaterad princip: Kubernetes-kluster bör inte använda standardnamnområdet).

Allvarlighetsgrad: Låg

Typ: Kubernetes-dataplan

Minst privilegierade Linux-funktioner ska tillämpas för containrar

Beskrivning: Om du vill minska angreppsytan för din container begränsar du Linux-funktionerna och beviljar specifika behörigheter till containrar utan att ge rotanvändarens alla behörigheter. Vi rekommenderar att du tar bort alla funktioner och sedan lägger till de som krävs (Relaterad princip: Kubernetes-klustercontainrar bör endast använda tillåtna funktioner).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Privilegierade containrar bör undvikas

Beskrivning: Undvik privilegierade containrar när det är möjligt för att förhindra obegränsad värdåtkomst.

Privilegierade containrar har alla rotfunktioner i en värddator. De kan användas som startpunkter för attacker och för att sprida skadlig kod eller skadlig kod till komprometterade program, värdar och nätverk. (Relaterad princip: Tillåt inte privilegierade containrar i Kubernetes-kluster).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Du bör undvika att köra containrar som rotanvändare

Beskrivning: Containrar ska inte köras som rotanvändare i kubernetes-klustret. När du kör en process som rotanvändare i en container körs den som rot på värden. Om det finns en kompromiss har en angripare rot i containern och eventuella felkonfigurationer blir lättare att utnyttja. (Relaterad princip: Kubernetes-klusterpoddar och containrar ska endast köras med godkända användar- och grupp-ID:er).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

Tjänster bör endast lyssna på tillåtna portar

Beskrivning: Om du vill minska attackytan för ditt Kubernetes-kluster begränsar du åtkomsten till klustret genom att begränsa tjänsternas åtkomst till de konfigurerade portarna. (Relaterad princip: Se till att tjänsterna endast lyssnar på tillåtna portar i Kubernetes-klustret).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Användningen av värdnätverk och portar bör begränsas

Beskrivning: Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Poddar som skapats med hostNetwork-attributet aktiverat delar nodens nätverksutrymme. För att undvika komprometterad container från att sniffa nätverkstrafik rekommenderar vi att du inte placerar dina poddar i värdnätverket. Om du behöver exponera en containerport i nodens nätverk och en Kubernetes Service-nodport inte uppfyller dina behov, är en annan möjlighet att ange en hostPort för containern i poddspecifikationen. (Relaterad princip: Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Användning av poddars HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomsten från komprometterade containrar

Beskrivning: Vi rekommenderar att du begränsar poddens HostPath-volymmonteringar i ditt Kubernetes-kluster till de konfigurerade tillåtna värdsökvägarna. Om det finns en kompromiss bör containernodåtkomsten från containrarna begränsas. (Relaterad princip: Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar).

Allvarlighetsgrad: Medel

Typ: Kubernetes Data-plan

Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys)

Beskrivning: Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. (Relaterad princip: Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas).

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)

Viktigt!

Den här rekommendationen är på en pensionsväg. Den ersätts av rekommendationen [[Förhandsversion] Containeravbildningar i Azure-registret bör ha sårbarhetsresultat lösta](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).

Beskrivning: Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje bild. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. (Relaterad princip: Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas).

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)

Viktigt!

Den här rekommendationen är på en pensionsväg. Den ersätts av rekommendationen [[Förhandsversion] Containrar som körs i Azure bör ha sårbarhetsresultat lösta](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).

Beskrivning: Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje bild. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

Datarekommendationer

(Aktivera om det behövs) Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/cosmosdb-cmk. (Relaterad princip: Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Hantera kryptering i resten av dina Azure Machine Learning-arbetsytedata med kundhanterade nycklar (CMK). Som standard krypteras kunddata med tjänsthanterade nycklar, men CMK:er krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/azureml-workspaces-cmk. (Relaterad princip: Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK).)

Allvarlighetsgrad: Låg

(Aktivera om det behövs) Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel (CMK)

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. MED CMK:er kan data som lagras i Cognitive Services krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/cosmosdb-cmk. (Relaterad princip: Ska Cognitive Services-konton aktivera datakryptering med en kundhanterad nyckel? (CMK))

Allvarlighetsgrad: Låg

(Aktivera om det behövs) MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. (Relaterad princip: Bring your own key data protection ska vara aktiverat för MySQL-servrar).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. (Relaterad princip: Bring your own key data protection ska vara aktiverat för PostgreSQL-servrar).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. (Relaterad princip: SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. (Relaterad princip: SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering

Beskrivning: Rekommendationer att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Skydda ditt lagringskonto med större flexibilitet med hjälp av kundhanterade nycklar (CMK:er). När du anger en CMK används den nyckeln för att skydda och kontrollera åtkomsten till den nyckel som krypterar dina data. Med hjälp av CMK:er finns ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller kryptografiskt radera data. (Relaterad princip: Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering).

Allvarlighetsgrad: Låg

Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL-hanterade instanser

Beskrivning: Vi rekommenderar att du aktiverar alla avancerade hotskyddstyper på dina SQL-hanterade instanser. Aktivering av alla typer skyddar mot SQL-inmatning, databassårbarheter och andra avvikande aktiviteter. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL Server

Beskrivning: Vi rekommenderar att du aktiverar alla avancerade hotskyddstyper på dina SQL-servrar. Aktivering av alla typer skyddar mot SQL-inmatning, databassårbarheter och andra avvikande aktiviteter. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

API Management-tjänster bör använda ett virtuellt nätverk

Beskrivning: Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett icke-Internet-routbart nätverk som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. (Relaterad princip: API Management-tjänster bör använda ett virtuellt nätverk).

Allvarlighetsgrad: Medel

Appkonfiguration bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. (Relaterad princip: AppKonfiguration bör använda privat länk).

Allvarlighetsgrad: Medel

Granskningskvarhållning för SQL-servrar ska vara inställt på minst 90 dagar

Beskrivning: Granska SQL-servrar som konfigurerats med en kvarhållningsperiod för granskning på mindre än 90 dagar. (Relaterad princip: SQL-servrar bör konfigureras med 90 dagars granskningskvarhållning eller högre.)

Allvarlighetsgrad: Låg

Granskning på SQL-servern ska vara aktiverad

Beskrivning: Aktivera granskning på SQL Server för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. (Relaterad princip: Granskning på SQL-servern ska vara aktiverat).

Allvarlighetsgrad: Låg

Automatisk etablering av Log Analytics-agenten ska vara aktiverad för prenumerationer

Beskrivning: Om du vill övervaka säkerhetsrisker och hot samlar Microsoft Defender för molnet in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. (Relaterad princip: Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration).

Allvarlighetsgrad: Låg

Azure Cache for Redis bör finnas i ett virtuellt nätverk

Beskrivning: Distributionen av Azure Virtual Network (VNet) ger förbättrad säkerhet och isolering för Din Azure Cache for Redis, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en Azure Cache for Redis-instans konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan endast nås från virtuella datorer och program i det virtuella nätverket. (Relaterad princip: Azure Cache for Redis bör finnas i ett virtuellt nätverk).

Allvarlighetsgrad: Medel

Azure Database for MySQL bör ha en Azure Active Directory-administratör etablerad

Beskrivning: Etablera en Azure AD-administratör för din Azure Database for MySQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster (Relaterad princip: En Azure Active Directory-administratör bör etableras för MySQL-servrar).

Allvarlighetsgrad: Medel

Azure Database for PostgreSQL bör ha en Azure Active Directory-administratör etablerad

Beskrivning: Etablera en Azure AD-administratör för din Azure Database for PostgreSQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster
(Relaterad princip: En Azure Active Directory-administratör bör etableras för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Azure Cosmos DB-konton ska ha brandväggsregler

Beskrivning: Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. (Relaterad princip: Azure Cosmos DB-konton bör ha brandväggsregler).

Allvarlighetsgrad: Medel

Azure Event Grid-domäner bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina Event Grid-domäner i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. (Relaterad princip: Azure Event Grid-domäner bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Event Grid-ämnen bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina ämnen i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. (Relaterad princip: Azure Event Grid-ämnen bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Machine Learning-arbetsytor bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina Azure Machine Learning-arbetsytor i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/azureml-workspaces-privatelink. (Relaterad princip: Azure Machine Learning-arbetsytor bör använda privat länk).

Allvarlighetsgrad: Medel

Azure SignalR Service bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina SignalR-resurser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/asrs/privatelink. (Relaterad princip: Azure SignalR Service bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Spring Cloud bör använda nätverksinmatning

Beskrivning: Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. (Relaterad princip: Azure Spring Cloud bör använda nätverksinmatning).

Allvarlighetsgrad: Medel

SQL-servrar bör ha en Azure Active Directory-administratör etablerad

Beskrivning: Etablera en Azure AD-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster. (Relaterad princip: En Azure Active Directory-administratör bör etableras för SQL-servrar).

Allvarlighetsgrad: Hög

Autentiseringsläget för Azure Synapse-arbetsytan ska endast vara Azure Active Directory

Beskrivning: Autentiseringsläget för Azure Synapse-arbetsytan ska vara Azure Active Directory Endast autentiseringsmetoder för Azure Active Directory förbättrar säkerheten genom att se till att Synapse-arbetsytor uteslutande kräver Azure AD-identiteter för autentisering. Läs mer. (Relaterad princip: Synapse-arbetsytor bör endast använda Azure Active Directory-identiteter för autentisering).

Allvarlighetsgrad: Medel

Cognitive Services-konton bör aktivera datakryptering

Beskrivning: Den här principen granskar alla Cognitive Services-konton som inte använder datakryptering. För varje Cognitive Services-konto med lagring bör du aktivera datakryptering med antingen kundhanterad eller Microsoft-hanterad nyckel. (Relaterad princip: Cognitive Services-konton bör aktivera datakryptering).

Allvarlighetsgrad: Låg

Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering

Beskrivning: Den här principen granskar alla Cognitive Services-konton som inte använder kundägd lagring eller datakryptering. För varje Cognitive Services-konto med lagring använder du antingen kundägd lagring eller aktiverar datakryptering. (Relaterad princip: Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering.)

Allvarlighetsgrad: Låg

Diagnostikloggar i Azure Data Lake Store ska vara aktiverade

Allvarlighetsgrad: Låg

Diagnostikloggar i Data Lake Analytics ska vara aktiverade

Allvarlighetsgrad: Låg

E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat

Beskrivning: Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Defender för molnet för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. (Relaterad princip: E-postaviseringar för aviseringar med hög allvarlighetsgrad ska vara aktiverade).

Allvarlighetsgrad: Låg

E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras

Beskrivning: Ange e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Defender för molnet för att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen. (Relaterad princip: E-postavisering till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska vara aktiverat).

Allvarlighetsgrad: Medel

Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar

Beskrivning: Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. (Relaterad princip: Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar).

Allvarlighetsgrad: Medel

Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar

Beskrivning: Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. (Relaterad princip: Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar).

Allvarlighetsgrad: Medel

Funktionsappar bör lösa sårbarhetsresultat

Beskrivning: Genomsökning av körningssårbarhet efter funktioner söker igenom dina funktionsappar efter säkerhetsrisker och visar detaljerade resultat. Att lösa säkerhetsriskerna kan avsevärt förbättra säkerhetsstatusen för dina serverlösa program och skydda dem mot attacker. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB

Beskrivning: Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB).

Allvarlighetsgrad: Låg

Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL

Beskrivning: Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL).

Allvarlighetsgrad: Låg

Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL

Beskrivning: Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL).

Allvarlighetsgrad: Låg

GitHub-lagringsplatser bör ha kodgenomsökning aktiverat

Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat

Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat

Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för Azure SQL Database-servrar ska vara aktiverade

Beskrivning: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den innehåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på ett hot mot databasen och identifiera och klassificera känsliga data. Viktigt: Skydd från den här planen debiteras enligt beskrivningen på sidan Defender-planer . Om du inte har några Azure SQL Database-servrar i den här prenumerationen debiteras du inte. Om du senare skapar Azure SQL Database-servrar i den här prenumerationen skyddas de automatiskt och avgifterna börjar. Läs mer om prisinformationen per region. Läs mer i Introduktion till Microsoft Defender för SQL. (Relaterad princip: Azure Defender för Azure SQL Database-servrar ska vara aktiverade).

Allvarlighetsgrad: Hög

Microsoft Defender för DNS ska vara aktiverat

Beskrivning: Microsoft Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Defender för DNS varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer i Introduktion till Microsoft Defender för DNS. Om du aktiverar den här Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Defender för molnet prissida: Defender för molnet Prissättning. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för relationsdatabaser med öppen källkod ska vara aktiverat

Beskrivning: Microsoft Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer i Introduktion till Microsoft Defender för relationsdatabaser med öppen källkod.

Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Om du inte har några relationsdatabaser med öppen källkod i den här prenumerationen debiteras inga avgifter. Om du skapar relationsdatabaser med öppen källkod för den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för Resource Manager bör vara aktiverat

Beskrivning: Microsoft Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Defender för molnet identifierar hot och aviseringar om misstänkt aktivitet. Läs mer i Introduktion till Microsoft Defender för Resource Manager. Om du aktiverar den här Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Defender för molnet prissida: Defender för molnet Prissättning. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för SQL på datorer ska vara aktiverat på arbetsytor

Allvarlighetsgrad: Medel

Microsoft Defender för SQL-servrar på datorer ska vara aktiverat

Viktigt: Om du åtgärdar den här rekommendationen debiteras du för att skydda DINA SQL-servrar på datorer. Om du inte har några SQL-servrar på datorer i den här prenumerationen debiteras inga avgifter. Om du skapar några SQL-servrar på datorer i den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer om Microsoft Defender för SQL-servrar på datorer. (Relaterad princip: Azure Defender för SQL-servrar på datorer ska vara aktiverat).

Allvarlighetsgrad: Hög

Microsoft Defender för SQL bör vara aktiverat för oskyddade Azure SQL-servrar

Beskrivning: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den visar och minimerar potentiella sårbarheter i databasen och identifierar avvikande aktiviteter som kan tyda på ett hot mot databasen. Microsoft Defender för SQL faktureras enligt prisinformationen per region. (Relaterad princip: Avancerad datasäkerhet bör aktiveras på dina SQL-servrar).

Allvarlighetsgrad: Hög

Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances

Allvarlighetsgrad: Hög

Microsoft Defender för Storage ska vara aktiverat

Beskrivning: Microsoft Defender för lagring identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Viktigt: Skydd från den här planen debiteras enligt beskrivningen på sidan Defender-planer . Om du inte har några Azure Storage-konton i den här prenumerationen debiteras du inte. Om du senare skapar Azure Storage-konton för den här prenumerationen skyddas de automatiskt och avgifterna börjar. Läs mer om prisinformationen per region. Läs mer i Introduktion till Microsoft Defender för lagring. (Relaterad princip: Azure Defender för Storage ska vara aktiverat).

Allvarlighetsgrad: Hög

Network Watcher ska vara aktiverat

Beskrivning: Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Verktyg för nätverksdiagnostik och visualisering som är tillgängliga med Network Watcher hjälper dig att förstå, diagnostisera och få insikter om ditt nätverk i Azure. (Relaterad princip: Network Watcher ska vara aktiverat).

Allvarlighetsgrad: Låg

Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. (Relaterad princip: Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för MariaDB-servrar

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för MariaDB-servrar).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för MySQL-servrar

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för MySQL-servrar).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras

Beskrivning: Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar

Beskrivning: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk bör inaktiveras för MariaDB-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar

Beskrivning: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar

Beskrivning: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk bör inaktiveras för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Redis Cache bör endast tillåta åtkomst via SSL

Beskrivning: Aktivera endast anslutningar via SSL till Redis Cache. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning. (Relaterad princip: Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade).

Allvarlighetsgrad: Hög

SQL-databaser bör lösa sårbarhetsresultat

Beskrivning: SQL Vulnerability Assessment söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. Läs mer (Relaterad princip: Sårbarheter i dina SQL-databaser bör åtgärdas).

Allvarlighetsgrad: Hög

SQL-hanterade instanser bör ha konfigurerad sårbarhetsbedömning

Beskrivning: Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. (Relaterad princip: Sårbarhetsbedömning bör aktiveras på SQL Managed Instance).

Allvarlighetsgrad: Hög

SQL-servrar på datorer bör ha sårbarhetsresultat lösta

Allvarlighetsgrad: Hög

SQL-servrar bör ha en Azure Active Directory-administratör etablerad

Allvarlighetsgrad: Hög

SQL-servrar bör ha konfigurerad sårbarhetsbedömning

Allvarlighetsgrad: Hög

Lagringskontot bör använda en privat länkanslutning

Beskrivning: Privata länkar framtvingar säker kommunikation genom att tillhandahålla privat anslutning till lagringskontot (Relaterad princip: Lagringskontot ska använda en privat länkanslutning).

Allvarlighetsgrad: Medel

Lagringskonton ska migreras till nya Azure Resource Manager-resurser

Beskrivning: Om du vill dra nytta av nya funktioner i Azure Resource Manager kan du migrera befintliga distributioner från den klassiska distributionsmodellen. Resource Manager möjliggör säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, ARM-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering. Läs mer (Relaterad princip: Lagringskonton ska migreras till nya Azure Resource Manager-resurser).

Allvarlighetsgrad: Låg

Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk

Beskrivning: Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. (Relaterad princip: Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk).

Allvarlighetsgrad: Medel

Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem

Beskrivning: För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer, anger du att en säkerhetskontakt ska ta emot e-postmeddelanden från Defender för molnet. (Relaterad princip: Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem)

Allvarlighetsgrad: Låg

transparent datakryptering på SQL-databaser ska vara aktiverat

Beskrivning: Aktivera transparent datakryptering för att skydda vilande data och uppfylla efterlevnadskrav (Relaterad princip: transparent datakryptering på SQL-databaser ska aktiveras).

Allvarlighetsgrad: Låg

Mallar för VM Image Builder ska använda privat länk

Beskrivning: Granska vm Image Builder-mallar som inte har konfigurerat ett virtuellt nätverk. När ett virtuellt nätverk inte har konfigurerats skapas och används en offentlig IP-adress i stället, vilket direkt kan exponera resurser för Internet och öka den potentiella attackytan. (Relaterad princip: Mallar för VM Image Builder bör använda privat länk).

Allvarlighetsgrad: Medel

Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway

Beskrivning: Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder/regioner, IP-adressintervall och andra http-parametrar via anpassade regler. (Relaterad princip: Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway).

Allvarlighetsgrad: Låg

Brandväggen för webbprogram (WAF) ska vara aktiverad för Azure Front Door Service

Beskrivning: Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder/regioner, IP-adressintervall och andra http-parametrar via anpassade regler. (Relaterad princip: Web Application Firewall (WAF) ska vara aktiverat för Azure Front Door Service?service)

Allvarlighetsgrad: Låg

Cognitive Services bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar. (Relaterad princip: Cognitive Services bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk

Beskrivning: Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt Cosmos DB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt Cosmos DB-konto. Läs mer. (Relaterad princip: Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk).

Allvarlighetsgrad: Medel

Cosmos DB-konton bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Cosmos DB-konto minskas risken för dataläckage. Läs mer om privata länkar. (Relaterad princip: Cosmos DB-konton bör använda privat länk).

Allvarlighetsgrad: Medel

Azure SQL Database ska köra TLS version 1.2 eller senare

Beskrivning: Om du ställer in TLS-versionen på 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. (Relaterad princip: Azure SQL Database bör köra TLS version 1.2 eller senare).

Allvarlighetsgrad: Medel

Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk

Beskrivning: Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) i Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Läs mer om åtkomst till offentliga nätverk. (Relaterad princip: Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk).

Allvarlighetsgrad: Medel

Lagringskonton bör förhindra åtkomst till delad nyckel

Beskrivning: Granskningskrav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory-autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Av dessa två typer av auktorisering ger Azure AD överlägsen säkerhet och användarvänlighet över delad nyckel och rekommenderas av Microsoft. (Relaterad princip: princip)

Allvarlighetsgrad: Medel

Identitets- och åtkomstrekommendationer

Högst 3 ägare bör utses för prenumerationer

Beskrivning: För att minska risken för intrång av komprometterade ägarkonton rekommenderar vi att du begränsar antalet ägarkonton till högst 3 (Relaterad princip: Högst 3 ägare bör utses för din prenumeration).

Allvarlighetsgrad: Hög

Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade

Beskrivning: Om du bara använder lösenord för att autentisera dina användare lämnar du en attackvektor öppen. Användare använder ofta svaga lösenord för flera tjänster. Genom att aktivera multifaktorautentisering (MFA) ger du bättre säkerhet för dina konton, samtidigt som användarna kan autentisera till nästan alla program med enkel inloggning (SSO). Multifaktorautentisering är en process som användarna uppmanas att använda under inloggningsprocessen för en annan form av identifiering. Till exempel kan en kod skickas till deras mobiltelefon, eller så kan de bli ombedda att skanna fingeravtryck. Vi rekommenderar att du aktiverar MFA för alla konton som har ägarbehörighet för Azure-resurser för att förhindra intrång och attacker. Mer information och vanliga frågor finns här: Hantera multifaktorautentisering (MFA) för dina prenumerationer (ingen relaterad princip).

Allvarlighetsgrad: Hög

Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade

Beskrivning: Om du bara använder lösenord för att autentisera dina användare lämnar du en attackvektor öppen. Användare använder ofta svaga lösenord för flera tjänster. Genom att aktivera multifaktorautentisering (MFA) ger du bättre säkerhet för dina konton, samtidigt som användarna kan autentisera till nästan alla program med enkel inloggning (SSO). Multifaktorautentisering är en process som användarna uppmanas att använda under inloggningsprocessen för ytterligare en form av identifiering. Till exempel kan en kod skickas till deras mobiltelefon, eller så kan de bli ombedda att skanna fingeravtryck. Vi rekommenderar att du aktiverar MFA för alla konton som har läsbehörighet för Azure-resurser för att förhindra intrång och attacker. Mer information och vanliga frågor och svar finns här. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade

Beskrivning: Om du bara använder lösenord för att autentisera dina användare lämnar du en attackvektor öppen. Användare använder ofta svaga lösenord för flera tjänster. Genom att aktivera multifaktorautentisering (MFA) ger du bättre säkerhet för dina konton, samtidigt som användarna kan autentisera till nästan alla program med enkel inloggning (SSO). Multifaktorautentisering är en process som användarna uppmanas att använda under inloggningsprocessen för ytterligare en form av identifiering. Till exempel kan en kod skickas till deras mobiltelefon, eller så kan de bli ombedda att skanna fingeravtryck. Vi rekommenderar att du aktiverar MFA för alla konton som har skrivbehörighet för Azure-resurser för att förhindra intrång och attacker. Mer information och vanliga frågor finns här: Hantera multifaktorautentisering (MFA) för dina prenumerationer (ingen relaterad princip).

Allvarlighetsgrad: Hög

Azure Cosmos DB-konton bör använda Azure Active Directory som den enda autentiseringsmetoden

Beskrivning: Det bästa sättet att autentisera till Azure-tjänster är att använda rollbaserad åtkomstkontroll (RBAC). MED RBAC kan du upprätthålla principen för minsta behörighet och har stöd för möjligheten att återkalla behörigheter som en effektiv svarsmetod när den komprometteras. Du kan konfigurera ditt Azure Cosmos DB-konto för att framtvinga RBAC som den enda autentiseringsmetoden. När tillämpningen har konfigurerats nekas alla andra åtkomstmetoder (primära/sekundära nycklar och åtkomsttoken). (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort

Beskrivning: Konton som har blockerats från att logga in på Active Directory bör tas bort från dina Azure-resurser. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort

Allvarlighetsgrad: Hög

Inaktuella konton bör tas bort från prenumerationer

Beskrivning: Användarkonton som har blockerats från att logga in bör tas bort från dina prenumerationer. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Relaterad princip: Inaktuella konton bör tas bort från din prenumeration).

Allvarlighetsgrad: Hög

Inaktuella konton med ägarbehörigheter bör tas bort från prenumerationer

Allvarlighetsgrad: Hög

Diagnostikloggar i Key Vault ska vara aktiverade

Allvarlighetsgrad: Låg

Externa konton med ägarbehörigheter bör tas bort från prenumerationer

Beskrivning: Konton med ägarbehörigheter som har olika domännamn (externa konton) bör tas bort från din prenumeration. Detta förhindrar oövervakad åtkomst. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Relaterad princip: Externa konton med ägarbehörigheter bör tas bort från din prenumeration).

Allvarlighetsgrad: Hög

Externa konton med läsbehörighet bör tas bort från prenumerationer

Beskrivning: Konton med läsbehörigheter som har olika domännamn (externa konton) bör tas bort från din prenumeration. Detta förhindrar oövervakad åtkomst. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Relaterad princip: Externa konton med läsbehörighet bör tas bort från din prenumeration).

Allvarlighetsgrad: Hög

Externa konton med skrivbehörigheter bör tas bort från prenumerationer

Beskrivning: Konton med skrivbehörigheter som har olika domännamn (externa konton) bör tas bort från din prenumeration. Detta förhindrar oövervakad åtkomst. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Relaterad princip: Externa konton med skrivbehörighet bör tas bort från din prenumeration).

Allvarlighetsgrad: Hög

Brandväggen ska vara aktiverad i Key Vault

Beskrivning: Nyckelvalvets brandvägg förhindrar obehörig trafik från att nå ditt nyckelvalv och ger ytterligare ett skyddslager för dina hemligheter. Aktivera brandväggen för att se till att endast trafik från tillåtna nätverk kan komma åt ditt nyckelvalv. (Relaterad princip: Brandväggen ska vara aktiverad i Key Vault).

Allvarlighetsgrad: Medel

Gästkonton med ägarbehörighet för Azure-resurser bör tas bort

Beskrivning: Konton med ägarbehörigheter som har etablerats utanför Azure Active Directory-klientorganisationen (olika domännamn) bör tas bort från dina Azure-resurser. Gästkonton hanteras inte enligt samma standarder som företagsklientidentiteter. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Gästkonton med läsbehörighet för Azure-resurser bör tas bort

Beskrivning: Konton med läsbehörigheter som har etablerats utanför Azure Active Directory-klientorganisationen (olika domännamn) bör tas bort från dina Azure-resurser. Gästkonton hanteras inte enligt samma standarder som företagsklientidentiteter. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Gästkonton med skrivbehörighet för Azure-resurser bör tas bort

Beskrivning: Konton med skrivbehörigheter som har etablerats utanför Azure Active Directory-klientorganisationen (olika domännamn) bör tas bort från dina Azure-resurser. Gästkonton hanteras inte enligt samma standarder som företagsklientidentiteter. Dessa konton kan vara mål för angripare som vill hitta sätt att komma åt dina data utan att märkas. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Key Vault-nycklar bör ha ett utgångsdatum

Beskrivning: Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. (Relaterad princip: Key Vault-nycklar bör ha ett förfallodatum).

Allvarlighetsgrad: Hög

Key Vault-hemligheter bör ha ett utgångsdatum

Beskrivning: Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. (Relaterad princip: Key Vault-hemligheter bör ha ett utgångsdatum).

Allvarlighetsgrad: Hög

Nyckelvalv bör ha rensningsskydd aktiverat

Beskrivning: Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa nyckelvalv. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. (Relaterad princip: Nyckelvalv bör ha rensningsskydd aktiverat).

Allvarlighetsgrad: Medel

Nyckelvalv bör ha mjuk borttagning aktiverat

Beskrivning: Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. (Relaterad princip: Nyckelvalv bör ha mjuk borttagning aktiverat).

Allvarlighetsgrad: Hög

MFA ska vara aktiverat på konton med ägarbehörigheter för prenumerationer

Beskrivning: Multifaktorautentisering (MFA) ska aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. (Relaterad princip: MFA bör aktiveras på konton med ägarbehörighet för din prenumeration).

Allvarlighetsgrad: Hög

MFA ska vara aktiverat på konton med läsbehörigheter för prenumerationer

Beskrivning: Multifaktorautentisering (MFA) ska aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. (Relaterad princip: MFA ska vara aktiverat på konton med läsbehörighet för din prenumeration).

Allvarlighetsgrad: Hög

MFA ska aktiveras på konton med skrivbehörighet för prenumerationer

Beskrivning: Multifaktorautentisering (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. (Relaterad princip: MFA ska vara aktiverade konton med skrivbehörighet för din prenumeration).

Allvarlighetsgrad: Hög

Microsoft Defender för Key Vault ska vara aktiverat

Beskrivning: Microsoft Defender för molnet innehåller Microsoft Defender för Key Vault, vilket ger ytterligare ett lager med säkerhetsinformation. Microsoft Defender för Key Vault identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja Key Vault-konton. Viktigt: Skydd från den här planen debiteras enligt beskrivningen på sidan Defender-planer . Om du inte har några nyckelvalv i den här prenumerationen debiteras du inte. Om du senare skapar nyckelvalv för den här prenumerationen skyddas de automatiskt och avgifterna börjar. Läs mer om prisinformationen per region. Läs mer i Introduktion till Microsoft Defender för Key Vault. (Relaterad princip: Azure Defender för Key Vault ska vara aktiverat).

Allvarlighetsgrad: Hög

Privat slutpunkt ska konfigureras för Key Vault

Beskrivning: Privat länk ger ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger skydd på djupet mot dataexfiltrering. (Relaterad princip: Privat slutpunkt ska konfigureras för Key Vault).

Allvarlighetsgrad: Medel

Offentlig åtkomst för lagringskonto bör inte tillåtas

Beskrivning: Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data, men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. (Relaterad princip: Offentlig åtkomst till lagringskontot bör inte tillåtas).

Allvarlighetsgrad: Medel

Det bör finnas fler än en ägare tilldelad till prenumerationer

Beskrivning: Utse fler än en prenumerationsägare för att få administratörsåtkomstredundans. (Relaterad princip: Det bör finnas fler än en ägare tilldelad till din prenumeration).

Allvarlighetsgrad: Hög

Giltighetsperioden för certifikat som lagras i Azure Key Vault får inte överstiga 12 månader

Beskrivning: Kontrollera att dina certifikat inte har en giltighetsperiod som överskrider 12 månader. (Relaterad princip: Certifikaten bör ha den angivna maximala giltighetsperioden).

Allvarlighetsgrad: Medel

Överetablerade Identiteter i Azure ska bara ha de behörigheter som krävs (förhandsversion)

Beskrivning: Överetablerade identiteter, eller över behörighetsidentiteter, använder inte många av sina beviljade behörigheter. Regelbundet rätt storlek behörigheter för dessa identiteter för att minska risken för missbruk av behörigheter, antingen oavsiktligt eller skadligt. Den här åtgärden minskar den potentiella explosionsradien under en säkerhetsincident.

Allvarlighetsgrad: Medel

Superidentiteter i din Azure-miljö bör tas bort (förhandsversion)

Beskrivning: Superidentitet är en mänsklig identitet eller arbetsbelastningsidentitet, till exempel användare, tjänsthuvudnamn och serverlösa funktioner som har administratörsbehörighet och som kan utföra alla åtgärder på alla resurser i infrastrukturen. Superidentiteter är extremt hög risk, eftersom missbruk av skadliga eller oavsiktliga behörigheter kan leda till katastrofala avbrott i tjänsten, tjänstförsämring eller dataläckage. Superidentiteter utgör ett stort hot mot molninfrastrukturen. För många superidentiteter kan skapa överdrivna risker och öka explosionsradien under ett intrång.

Allvarlighetsgrad: Medel

Oanvända identiteter i din Azure-miljö bör tas bort (förhandsversion)

Beskrivning: Inaktiva identiteter är de identiteter som inte har utfört någon åtgärd på några infrastrukturresurser under de senaste 90 dagarna. Inaktiva identiteter utgör en betydande risk för din organisation eftersom de kan användas av angripare för att få åtkomst till och utföra uppgifter i din miljö.

Allvarlighetsgrad: Medel

IoT-rekommendationer

Standardprincipen för IP-filter ska nekas

Beskrivning: IP-filterkonfigurationen bör ha regler som definierats för tillåten trafik och bör neka all annan trafik som standard (ingen relaterad princip).

Allvarlighetsgrad: Medel

Diagnostikloggar i IoT Hub ska vara aktiverade

Allvarlighetsgrad: Låg

Identiska autentiseringsuppgifter

Beskrivning: Identiska autentiseringsuppgifter till IoT Hub som används av flera enheter. Detta kan tyda på att en illegitim enhet utger sig för att vara en legitim enhet. Det exponerar också risken för enhetspersonifiering av en angripare (ingen relaterad princip).

Allvarlighetsgrad: Hög

STORT IP-intervall för IP-filterregel

Beskrivning: Tillåt IP-filterregelns käll-IP-intervall är för stort. Alltför tillåtande regler kan exponera din IoT-hubb för skadliga användare (ingen relaterad princip).

Allvarlighetsgrad: Medel

Nätverksrekommendationer

Åtkomst till lagringskonton med brandväggs- och konfigurationer för virtuella nätverk bör begränsas

Beskrivning: Granska inställningarna för nätverksåtkomst i brandväggsinställningarna för lagringskontot. Vi rekommenderar att du konfigurerar nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet. (Relaterad princip: Lagringskonton bör begränsa nätverksåtkomsten).

Allvarlighetsgrad: Låg

Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer

Beskrivning: Defender för molnet har analyserat internettrafikkommunikationsmönstren för de virtuella datorer som anges nedan och fastställt att de befintliga reglerna i NSG:erna som är associerade med dem är alltför tillåtande, vilket resulterar i en ökad potentiell attackyta. Detta inträffar vanligtvis när den här IP-adressen inte kommunicerar regelbundet med den här resursen. Alternativt har IP-adressen flaggats som skadlig av Defender för molnet hotinformationskällor. Läs mer i Förbättra din nätverkssäkerhetsstatus med anpassningsbar nätverkshärdning. (Relaterad princip: Rekommendationer för adaptiv nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer).

Allvarlighetsgrad: Hög

Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn

Beskrivning: Defender för molnet har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. (Relaterad princip: Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn).

Allvarlighetsgrad: Hög

Azure DDoS Protection Standard ska vara aktiverat

Beskrivning: Defender för molnet har identifierat virtuella nätverk med Application Gateway-resurser som inte skyddas av DDoS-skyddstjänsten. Dessa resurser innehåller offentliga IP-adresser. Aktivera minskning av nätverksvolymer och protokollattacker. (Relaterad princip: Azure DDoS Protection Standard ska vara aktiverat).

Allvarlighetsgrad: Medel

Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper

Beskrivning: Skydda den virtuella datorn från potentiella hot genom att begränsa åtkomsten till den med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till den virtuella datorn från andra instanser, i eller utanför samma undernät. För att hålla datorn så säker som möjligt måste den virtuella datorns åtkomst till Internet begränsas och en NSG ska vara aktiverad i undernätet. Virtuella datorer med hög allvarlighetsgrad är internetuppkopplade virtuella datorer. (Relaterad princip: Internetuppkopplade virtuella datorer bör skyddas med nätverkssäkerhetsgrupper).

Allvarlighetsgrad: Hög

IP-vidarebefordran på den virtuella datorn bör inaktiveras

Beskrivning: Defender för molnet har upptäckt att IP-vidarebefordring är aktiverat på några av dina virtuella datorer. Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. (Relaterad princip: IP-vidarebefordran på den virtuella datorn bör inaktiveras).

Allvarlighetsgrad: Medel

Datorer bör ha portar stängda som kan exponera attackvektorer

Beskrivning: Användningsvillkoren för Azure förbjuder användning av Azure-tjänster på sätt som kan skada, inaktivera, överbelasta eller försämra någon Microsoft-server eller nätverket. Den här rekommendationen visar exponerade portar som måste stängas för din fortsatta säkerhet. Det illustrerar också det potentiella hotet mot varje port. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk

Allvarlighetsgrad: Hög

Hanteringsportar bör stängas på dina virtuella datorer

Beskrivning: Öppna fjärrhanteringsportar exponerar den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. (Relaterad princip: Hanteringsportar bör stängas på dina virtuella datorer).

Allvarlighetsgrad: Medel

Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper

Beskrivning: Skydda din virtuella dator som inte är internetuppkopplad från potentiella hot genom att begränsa åtkomsten till den med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till den virtuella datorn från andra instanser, oavsett om de finns i samma undernät eller inte. Observera att för att hålla datorn så säker som möjligt måste den virtuella datorns åtkomst till Internet begränsas och en NSG ska vara aktiverad i undernätet. (Relaterad princip: Virtuella datorer som inte är internetuppkopplade ska skyddas med nätverkssäkerhetsgrupper).

Allvarlighetsgrad: Låg

Säker överföring till lagringskonton ska vara aktiverad

Beskrivning: Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning. (Relaterad princip: Säker överföring till lagringskonton ska vara aktiverad).

Allvarlighetsgrad: Hög

Undernät ska associeras med en nätverkssäkerhetsgrupp

Beskrivning: Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. När en NSG är associerad med ett undernät gäller ACL-reglerna för alla vm-instanser och integrerade tjänster i undernätet, men gäller inte för intern trafik i undernätet. Om du vill skydda resurser i samma undernät från varandra aktiverar du även NSG direkt på resurserna. Observera att följande undernätstyper visas som ej tillämpliga: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Relaterad princip: Undernät ska associeras med en nätverkssäkerhetsgrupp).

Allvarlighetsgrad: Låg

Virtuella nätverk bör skyddas av Azure Firewall

Beskrivning: Vissa av dina virtuella nätverk är inte skyddade med en brandvägg. Använd Azure Firewall för att begränsa åtkomsten till dina virtuella nätverk och förhindra potentiella hot. (Relaterad princip: All Internettrafik ska dirigeras via din distribuerade Azure Firewall).

Allvarlighetsgrad: Låg

API-rekommendationer

Microsoft Defender för API:er ska vara aktiverat

Beskrivning och relaterad princip: Aktivera planen för Defender för API:er för att identifiera och skydda API-resurser mot attacker och felkonfigurationer av säkerhet. Läs mer

Allvarlighetsgrad: Hög

Api:er för Azure API Management bör registreras i Defender för API:er

Beskrivning och relaterad princip: Registrering av API:er till Defender för API:er kräver beräknings- och minnesanvändning i Azure API Management-tjänsten. Övervaka prestanda för azure API Management-tjänsten vid registrering av API:er och skala ut dina Azure API Management-resurser efter behov.

Allvarlighetsgrad: Hög

API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten

Beskrivning och relaterad princip: Som bästa praxis för säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som av misstag har lämnats aktiva. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen.

Allvarlighetsgrad: Låg

API-slutpunkter i Azure API Management ska autentiseras

Beskrivning och relaterad princip: API-slutpunkter som publicerats i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. För API:er som publicerats i Azure API Management utvärderar den här rekommendationen autentiseringen genom att verifiera förekomsten av Azure API Management-prenumerationsnycklar för API:er eller produkter där prenumeration krävs och körning av principer för validering av JWT, klientcertifikat och Microsoft Entra-token. Om ingen av dessa autentiseringsmekanismer körs under API-anropet får API:et den här rekommendationen.

Allvarlighetsgrad: Hög

Rekommendationer för API-hantering

API Management-prenumerationer bör inte begränsas till alla API:er

Beskrivning och relaterad princip: API Management-prenumerationer bör begränsas till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till överdriven dataexponering.

Allvarlighetsgrad: Medel

API Management-anrop till API-serverdelar bör inte kringgå certifikatets tumavtryck eller namnverifiering

Beskrivning och relaterad princip: API Management bör verifiera serverdelsservercertifikatet för alla API-anrop. Aktivera SSL-certifikatets tumavtryck och namnverifiering för att förbättra API-säkerheten.

Allvarlighetsgrad: Medel

API Management-slutpunkten för direkthantering bör inte vara aktiverad

Beskrivning och relaterad princip: Rest-API:et för direkthantering i Azure API Management kringgår rollbaserad åtkomstkontroll, auktorisering och begränsning i Azure Resource Manager, vilket ökar sårbarheten för din tjänst.

Allvarlighetsgrad: Låg

API Management-API:er bör endast använda krypterade protokoll

Beskrivning och relaterad princip: API:er ska endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS för att säkerställa säkerheten för data under överföring.

Allvarlighetsgrad: Hög

API Management-hemlighet med namngivna värden ska lagras i Azure Key Vault

Beskrivning och relaterad princip: Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. Referenshemlighet med namngivna värden från Azure Key Vault för att förbättra säkerheten för API Management och hemligheter. Azure Key Vault har stöd för detaljerade principer för åtkomsthantering och hemlig rotation.

Allvarlighetsgrad: Medel

API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk

Beskrivning och relaterad princip: För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för direkt åtkomsthantering, Git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självvärdade gatewayer.

Allvarlighetsgrad: Medel

API Management lägsta API-version ska anges till 2019-12-01 eller senare

Beskrivning och relaterad princip: För att förhindra att tjänsthemligheter delas med skrivskyddade användare bör den lägsta API-versionen anges till 2019-12-01 eller senare.

Allvarlighetsgrad: Medel

API Management-anrop till API-serverdelar ska autentiseras

Beskrivning och relaterad princip: Anrop från API Management till serverdelar bör använda någon form av autentisering, oavsett om det är via certifikat eller autentiseringsuppgifter. Gäller inte för Service Fabric-serverdelar.

Allvarlighetsgrad: Medel

AI-rekommendationer

Resursloggar i Azure Machine Learning-arbetsytor ska vara aktiverade (förhandsversion)

Beskrivning och relaterad princip: Resursloggar gör det möjligt att återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras.

Allvarlighetsgrad: Medel

Azure Machine Learning-arbetsytor bör inaktivera åtkomst till offentligt nätverk (förhandsversion)

Beskrivning och relaterad princip: Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att Machine Learning-arbetsytorna inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Mer information finns i Konfigurera en privat slutpunkt för en Azure Machine Learning-arbetsyta.

Allvarlighetsgrad: Medel

Azure Machine Learning Computes ska finnas i ett virtuellt nätverk (förhandsversion)

Beskrivning och relaterad princip: Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Machine Learning Compute-kluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket.

Allvarlighetsgrad: Medel

Azure Machine Learning Computes bör ha lokala autentiseringsmetoder inaktiverade (förhandsversion)

Beskrivning och relaterad princip: Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att maskininlärningsberäkning kräver Azure Active Directory-identiteter uteslutande för autentisering. Mer information finns i Kontroller för regelefterlevnad i Azure Policy för Azure Machine Learning.

Allvarlighetsgrad: Medel

Azure Machine Learning-beräkningsinstanser bör återskapas för att få de senaste programuppdateringarna (förhandsversion)

Beskrivning och relaterad princip: Se till att Azure Machine Learning-beräkningsinstanser körs på det senaste tillgängliga operativsystemet. Säkerheten förbättras och säkerhetsrisker minskas genom att köras med de senaste säkerhetskorrigeringarna. Mer information finns i Sårbarhetshantering för Azure Machine Learning.

Allvarlighetsgrad: Medel

Resursloggar i Azure Databricks-arbetsytor ska vara aktiverade (förhandsversion)

Allvarlighetsgrad: Medel

Azure Databricks-arbetsytor bör inaktivera åtkomst till offentliga nätverk (förhandsversion)

Beskrivning och relaterad princip: Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Mer information finns i Aktivera Azure Private Link.

Allvarlighetsgrad: Medel

Azure Databricks-kluster bör inaktivera offentlig IP-adress (förhandsversion)

Beskrivning och relaterad princip: Att inaktivera offentliga IP-adresser för kluster i Azure Databricks-arbetsytor förbättrar säkerheten genom att säkerställa att klustren inte exponeras på det offentliga Internet. Mer information finns i Säker klusteranslutning.

Allvarlighetsgrad: Medel

Azure Databricks-arbetsytor ska finnas i ett virtuellt nätverk (förhandsversion)

Beskrivning och relaterad princip: Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Databricks-arbetsytor, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. Mer information finns i Distribuera Azure Databricks i ditt virtuella Azure-nätverk.

Allvarlighetsgrad: Medel

Azure Databricks-arbetsytor bör använda privat länk (förhandsversion)

Beskrivning och relaterad princip: Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Databricks-arbetsytor kan du minska risken för dataläckage. Mer information finns i Skapa arbetsytan och privata slutpunkter i Azure-portalens användargränssnitt.

Allvarlighetsgrad: Medel

Azure AI Services-resurser bör begränsa nätverksåtkomsten

Beskrivning: Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänstresursen.

Allvarlighetsgrad: Medel

Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering)

Beskrivning: Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer.

Allvarlighetsgrad: Medel

Inaktuella rekommendationer

Överetablerade identiteter i prenumerationer bör undersökas för att minska PCI (Permission Creep Index)

Beskrivning: Överetablerade identiteter i prenumerationen bör undersökas för att minska PCI (Permission Creep Index) och skydda infrastrukturen. Minska PCI genom att ta bort oanvända behörighetstilldelningar med hög risk. Hög PCI återspeglar risker som är associerade med identiteter med behörigheter som överskrider deras normala eller nödvändiga användning (ingen relaterad princip).

Allvarlighetsgrad: Medel

Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index)

Beskrivning: Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index) och skydda infrastrukturen. Minska PCI genom att ta bort oanvända behörighetstilldelningar med hög risk. Hög PCI återspeglar risker som är associerade med identiteter med behörigheter som överskrider deras normala eller nödvändiga användning.

Allvarlighetsgrad: Medel

Åtkomsten till App Services bör begränsas

Beskrivning och relaterad princip: Begränsa åtkomsten till dina App Services genom att ändra nätverkskonfigurationen för att neka inkommande trafik från områden som är för breda. (Relaterad princip: [Förhandsversion]: Åtkomst till App Services bör begränsas).

Allvarlighetsgrad: Hög

Reglerna för webbprogram på IaaS NSG:er bör hårdna

Beskrivning och relaterad princip: Härda nätverkssäkerhetsgruppen (NSG) för dina virtuella datorer som kör webbprogram, med NSG-regler som är alltför tillåtande när det gäller webbprogramportar. (Relaterad princip: NSG-reglerna för webbprogram på IaaS bör härdas).

Allvarlighetsgrad: Hög

Poddsäkerhetsprinciper bör definieras för att minska attackvektorn genom att ta bort onödiga programprivilegier (förhandsversion)

Beskrivning och relaterad princip: Definiera poddsäkerhetsprinciper för att minska attackvektorn genom att ta bort onödiga programprivilegier. Vi rekommenderar att du konfigurerar poddsäkerhetsprinciper så att poddar bara kan komma åt resurser som de har åtkomst till. (Relaterad princip: [Förhandsversion]: Poddsäkerhetsprinciper bör definieras på Kubernetes Services).

Allvarlighetsgrad: Medel

Installera Azure Security Center for IoT-säkerhetsmodulen för att få mer insyn i dina IoT-enheter

Beskrivning och relaterad princip: Installera Azure Security Center for IoT-säkerhetsmodulen för att få mer insyn i dina IoT-enheter.

Allvarlighetsgrad: Låg

Dina datorer bör startas om för att tillämpa systemuppdateringar

Beskrivning och relaterad princip: Starta om datorerna för att tillämpa systemuppdateringarna och skydda datorn mot sårbarheter. (Relaterad princip: Systemuppdateringar bör installeras på dina datorer).

Allvarlighetsgrad: Medel

Övervakningsagenten bör installeras på dina datorer

Beskrivning och relaterad princip: Den här åtgärden installerar en övervakningsagent på de valda virtuella datorerna. Välj en arbetsyta som agenten ska rapportera till. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Java bör uppdateras till den senaste versionen för webbappar

Beskrivning och relaterad princip: Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Med den senaste Java-versionen för webbappar rekommenderar vi att du drar nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att Java-versionen är den senaste, om den används som en del av webbappen).

Allvarlighetsgrad: Medel

Python bör uppdateras till den senaste versionen för funktionsappar

Beskrivning och relaterad princip: Med jämna mellanrum släpps nyare versioner för Python-programvara antingen på grund av säkerhetsfel eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att Python-versionen är den senaste, om den används som en del av funktionsappen).

Allvarlighetsgrad: Medel

Python bör uppdateras till den senaste versionen för webbappar

Beskrivning och relaterad princip: Med jämna mellanrum släpps nyare versioner för Python-programvara antingen på grund av säkerhetsfel eller för att inkludera ytterligare funktioner. Med den senaste Python-versionen för webbappar rekommenderar vi att du drar nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att Python-versionen är den senaste, om den används som en del av webbappen).

Allvarlighetsgrad: Medel

Java bör uppdateras till den senaste versionen för funktionsappar

Beskrivning och relaterad princip: Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Med den senaste Java-versionen för funktionsappar rekommenderas att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att Java-versionen är den senaste, om den används som en del av funktionsappen).

Allvarlighetsgrad: Medel

PHP bör uppdateras till den senaste versionen för webbappar

Beskrivning och relaterad princip: Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Med den senaste PHP-versionen för webbappar rekommenderar vi att du drar nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. (Relaterad princip: Se till att PHP-versionen är den senaste, om den används som en del av webbappen).

Allvarlighetsgrad: Medel

Problem med slutpunktsskyddshälsa på datorer bör lösas

Beskrivning: Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Se dokumentationen för slutpunktsskyddslösningar som stöds av Defender för molnet och utvärderingar av slutpunktsskydd. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Slutpunktsskydd ska installeras på datorer

Beskrivning: Installera en slutpunktsskyddslösning som stöds för att skydda datorer från hot och sårbarheter. Läs mer om hur slutpunktsskydd för datorer utvärderas i Utvärdering och rekommendationer för slutpunktsskydd i Microsoft Defender för molnet. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton

Beskrivning: Den här principen granskar alla Cognitive Services-konton i din miljö med offentlig nätverksåtkomst aktiverad. Åtkomst till offentligt nätverk bör inaktiveras så att endast anslutningar från privata slutpunkter tillåts. (Relaterad princip: Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton).

Allvarlighetsgrad: Medel