Inbyggda principdefinitioner i Azure Policy
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy.
Namnet på varje inbyggd länk till principdefinitionen i Azure-portalen. Använd länken i kolumnen Källa för att visa källan på Azure Policy GitHub-lagringsplatsen. De inbyggda grupperna grupperas efter kategoriegenskapen i metadata. Om du vill gå till en specifik kategori använder du Ctrl-F för webbläsarens sökfunktion.
API för FHIR
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure API för FHIR bör använda en kundhanterad nyckel för att kryptera vilande data | Använd en kundhanterad nyckel för att styra krypteringen i resten av de data som lagras i Azure API för FHIR när detta är ett regel- eller efterlevnadskrav. Kundhanterade nycklar levererar också dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardvärdet som görs med tjänsthanterade nycklar. | audit, Audit, disabled, Disabled | 1.1.0 |
| Azure API för FHIR bör använda privat länk | Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. | Granskning, inaktiverad | 1.0.0 |
| CORS bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR. Om du vill skydda ditt API för FHIR tar du bort åtkomsten för alla domäner och definierar uttryckligen de domäner som tillåts att ansluta. | audit, Audit, disabled, Disabled | 1.1.0 |
API Management
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| API Management-API:er bör endast använda krypterade protokoll | För att säkerställa säkerheten för data under överföring bör API:er endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS. | Granska, inaktiverad, Neka | 2.0.2 |
| API Management-anrop till API-serverdelar ska autentiseras | Anrop från API Management till serverdelar bör använda någon form av autentisering, oavsett om det är via certifikat eller autentiseringsuppgifter. Gäller inte för Service Fabric-serverdelar. | Granska, inaktiverad, Neka | 1.0.1 |
| API Management-anrop till API-serverdelar bör inte kringgå certifikatets tumavtryck eller namnverifiering | För att förbättra API-säkerheten bör API Management verifiera serverdelsservercertifikatet för alla API-anrop. Aktivera tumavtryck och namnvalidering för SSL-certifikat. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management-slutpunkten för direkthantering bör inte vara aktiverad | Rest-API:et för direkthantering i Azure API Management kringgår rollbaserade åtkomstkontrolls-, auktoriserings- och begränsningsmekanismer i Azure Resource Manager, vilket ökar sårbarheten för din tjänst. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management lägsta API-version ska anges till 2019-12-01 eller senare | För att förhindra att tjänsthemligheter delas med skrivskyddade användare bör den lägsta API-versionen anges till 2019-12-01 eller senare. | Granska, neka, inaktiverad | 1.0.1 |
| API Management-hemlighet med namngivna värden ska lagras i Azure Key Vault | Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. För att förbättra säkerheten för API Management och hemligheter refererar du till hemliga namngivna värden från Azure Key Vault. Azure Key Vault har stöd för detaljerade principer för åtkomsthantering och hemlig rotation. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management-tjänsten bör använda en SKU som stöder virtuella nätverk | Med SKU:er för API Management som stöds låser distributionen av tjänsten till ett virtuellt nätverk upp avancerade API Management-nätverk och säkerhetsfunktioner som ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://aka.ms/apimvnet. | Granska, neka, inaktiverad | 1.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk | För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för hantering av direktåtkomst, git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självhanterade gatewayer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| API Management ska ha inaktiverat autentisering med användarnamn och lösenord | För att bättre skydda utvecklarportalen bör användarnamn och lösenordsautentisering i API Management inaktiveras. Konfigurera användarautentisering via Azure AD- eller Azure AD B2C-identitetsprovidrar och inaktivera standardautentiseringen för användarnamn och lösenord. | Granskning, inaktiverad | 1.0.1 |
| API Management-prenumerationer bör inte begränsas till alla API:er | API Management-prenumerationer bör begränsas till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till överdriven dataexponering. | Granska, inaktiverad, Neka | 1.1.0 |
| Azure API Management-plattformsversionen ska vara stv2 | Azure API Management stv1-beräkningsplattformsversionen dras tillbaka från och med den 31 augusti 2024 och dessa instanser bör migreras till stv2-beräkningsplattformen för fortsatt support. Läs mer på /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera API Management-tjänster för att inaktivera åtkomst till API Management-slutpunkter för offentlig tjänstkonfiguration | För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för hantering av direktåtkomst, git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självhanterade gatewayer. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Ändra API Management för att inaktivera autentisering av användarnamn och lösenord | Konfigurera användarautentisering via Azure AD eller Azure AD B2C-identitetsprovidrar och inaktivera standardautentiseringen för användarnamn och lösenord för att skydda utvecklarportalens användarkonton och deras autentiseringsuppgifter. | Ändra | 1.1.0 |
App Configuration
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Appkonfiguration bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/appconfig/private-endpoint. | Granska, neka, inaktiverad | 1.0.0 |
| Appkonfiguration bör använda en kundhanterad nyckel | Kundhanterade nycklar ger förbättrat dataskydd genom att du kan hantera dina krypteringsnycklar. Detta krävs ofta för att uppfylla efterlevnadskraven. | Granska, neka, inaktiverad | 1.1.0 |
| AppKonfiguration bör använda en SKU som stöder privat länk | När du använder en SKU som stöds kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | Granska, neka, inaktiverad | 1.0.0 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| AppKonfigurationslager bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att appkonfigurationsarkivet kräver Microsoft Entra-identiteter uteslutande för autentisering. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2161954. | Granska, neka, inaktiverad | 1.0.1 |
| Konfigurera appkonfigurationslager för att inaktivera lokala autentiseringsmetoder | Inaktivera lokala autentiseringsmetoder så att appkonfigurationsarkiven kräver Microsoft Entra-identiteter uteslutande för autentisering. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2161954. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera appkonfiguration för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för App Configuration så att den inte är tillgänglig via det offentliga Internet. Den här konfigurationen skyddar dem mot dataläckagerisker. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/appconfig/private-endpoint. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera privata DNS-zoner för privata slutpunkter som är anslutna till App Configuration | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon kan länkas till ditt virtuella nätverk för att lösa appkonfigurationsinstanser. Läs mer på: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera privata slutpunkter för appkonfiguration | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser minskas risken för dataläckage. Läs mer på: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, inaktiverad | 1.0.0 |
Appplattform
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Granska Azure Spring Cloud-instanser där distribuerad spårning inte är aktiverat | Med distribuerade spårningsverktyg i Azure Spring Cloud kan du felsöka och övervaka de komplexa sammankopplingarna mellan mikrotjänster i ett program. Distribuerade spårningsverktyg ska vara aktiverade och i felfritt tillstånd. | Granskning, inaktiverad | 1.0.0-preview |
| Azure Spring Cloud bör använda nätverksinmatning | Azure Spring Cloud-instanser bör använda inmatning av virtuella nätverk i följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. | Granska, inaktiverad, Neka | 1.2.0 |
App Service
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appfack ska matas in i ett virtuellt nätverk | När du matar in App Service-appar i ett virtuellt nätverk låser du upp avancerade App Service-nätverks- och säkerhetsfunktioner och ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appfack bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att se till att App Service inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en App Service. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.0.0 |
| App Service-appplatser bör aktivera konfigurationsroutning till Azure Virtual Network | Som standard dirigeras inte appkonfiguration som att hämta containeravbildningar och montera innehållslagring via integreringen av det regionala virtuella nätverket. Om du använder API:et för att ange routningsalternativ till true kan du konfigurera trafik via Azure Virtual Network. Med de här inställningarna kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas och tjänstslutpunkter vara privata. Mer information finns på https://aka.ms/appservice-vnet-configuration-routing. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appplatser bör aktivera utgående icke-RFC 1918-trafik till Azure Virtual Network | Om man som standard använder regional integrering med Azure Virtual Network (VNET) dirigerar appen endast RFC1918 trafik till respektive virtuellt nätverk. Om du använder API:et för att ställa in "vnetRouteAllEnabled" på true aktiveras all utgående trafik till Det virtuella Azure-nätverket. Med den här inställningen kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas för all utgående trafik från App Service-appen. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appfack bör ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör ha lokala autentiseringsmetoder inaktiverade för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.3 |
| App Service-appfack bör ha lokala autentiseringsmetoder inaktiverade för SCM-platsdistributioner | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.4 |
| App Service-appfack bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 1.0.1 |
| App Service-appfack ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Appfack för App Service bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appplatser bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 2.0.0 |
| App Service-appfack ska endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör använda en Azure-filresurs för innehållskatalogen | Innehållskatalogen för en app ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 1.0.0 |
| App Service-appfack bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack som använder PHP bör använda en angiven "PHP-version" | Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar ska matas in i ett virtuellt nätverk | När du matar in App Service-appar i ett virtuellt nätverk låser du upp avancerade App Service-nätverks- och säkerhetsfunktioner och ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Granska, neka, inaktiverad | 3.0.0 |
| App Service-appar bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att se till att App Service inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en App Service. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.1.0 |
| App Service-appar bör aktivera konfigurationsroutning till Azure Virtual Network | Som standard dirigeras inte appkonfiguration som att hämta containeravbildningar och montera innehållslagring via integreringen av det regionala virtuella nätverket. Om du använder API:et för att ange routningsalternativ till true kan du konfigurera trafik via Azure Virtual Network. Med de här inställningarna kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas och tjänstslutpunkter vara privata. Mer information finns på https://aka.ms/appservice-vnet-configuration-routing. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appar bör aktivera utgående icke-RFC 1918-trafik till Azure Virtual Network | Om man som standard använder regional integrering med Azure Virtual Network (VNET) dirigerar appen endast RFC1918 trafik till respektive virtuellt nätverk. Om du använder API:et för att ställa in "vnetRouteAllEnabled" på true aktiveras all utgående trafik till Det virtuella Azure-nätverket. Med den här inställningen kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas för all utgående trafik från App Service-appen. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appar ska ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör ha lokala autentiseringsmetoder inaktiverade för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.3 |
| App Service-appar bör ha lokala autentiseringsmetoder inaktiverade för SCM-platsdistributioner | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.3 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda en SKU som stöder privat länk | Med SKU:er som stöds kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till appar kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/private-link. | Granska, neka, inaktiverad | 4.1.0 |
| App Service-appar bör använda en Azure-filresurs för sin innehållskatalog | Innehållskatalogen för en app ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till App Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/private-link. | AuditIfNotExists, inaktiverad | 1.0.1 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| App Service-appar som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.1.0 |
| App Service-appar som använder PHP bör använda en angiven "PHP-version" | Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.2.0 |
| App Service-appar som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 4.1.0 |
| App Service-miljön appar ska inte kunna nås via offentligt Internet | För att säkerställa att appar som distribueras i en App Service-miljön inte är tillgängliga via offentligt Internet bör man distribuera App Service-miljön med en IP-adress i det virtuella nätverket. Om du vill ange IP-adressen till ett virtuellt nätverks-IP måste App Service-miljön distribueras med en intern lastbalanserare. | Granska, neka, inaktiverad | 3.0.0 |
| App Service-miljön ska konfigureras med de starkaste TLS-chiffersviterna | De två mest minimala och starkaste chiffersviterna som krävs för att App Service-miljön ska fungera korrekt är: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Granskning, inaktiverad | 1.0.0 |
| App Service-miljön bör etableras med de senaste versionerna | Tillåt endast att App Service-miljön version 2 eller version 3 etableras. Äldre versioner av App Service-miljön kräver manuell hantering av Azure-resurser och har större skalningsbegränsningar. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-miljön ska ha intern kryptering aktiverat | Om internalEncryption anges till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Granskning, inaktiverad | 1.0.1 |
| App Service-miljön bör ha TLS 1.0 och 1.1 inaktiverade | TLS 1.0 och 1.1 är inaktuella protokoll som inte stöder moderna kryptografiska algoritmer. Om du inaktiverar inkommande TLS 1.0- och 1.1-trafik kan du skydda appar i en App Service-miljön. | Granska, neka, inaktiverad | 2.0.1 |
| Konfigurera App Service-appplatser för att inaktivera lokal autentisering för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appplatser för att inaktivera lokal autentisering för SCM-webbplatser | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appplatser för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för dina App Services så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera App Service-appplatser så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera App Service-appfack för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera App Service-appplatser för att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera App Service-appar för att inaktivera lokal autentisering för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appar för att inaktivera lokal autentisering för SCM-webbplatser | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appar för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för dina App Services så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera App Service-appar så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera App Service-appar för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera App Service-appar för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar ett virtuellt nätverk till en App Service. Läs mer på: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera App Service-appar att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera funktionsappplatser för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för dina funktionsappar så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera funktionsappplatser så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera funktionsappplatser för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i en funktionsapp. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera funktionsappplatser för att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera funktionsappar för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för dina funktionsappar så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera funktionsappar så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera funktionsappar för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera funktionsappar för att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Funktionsappplatser bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att funktionsappen inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en funktionsapp. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.0.0 |
| Funktionsappplatser ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser ska endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 2.0.0 |
| Funktionsappplatser bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör använda en Azure-filresurs för innehållskatalogen | Innehållskatalogen för en funktionsapp ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 1.0.0 |
| Funktionsappfack bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att funktionsappen inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en funktionsapp. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.0.0 |
| Funktionsappar bör ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda en Azure-filresurs för innehållskatalogen | Innehållskatalogen för en funktionsapp ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Funktionsappar som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.1.0 |
| Funktionsappar som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 4.1.0 |
Attestering
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure-attesteringsprovidrar bör inaktivera åtkomst till offentligt nätverk | För att förbättra säkerheten för Azure Attestation Service kontrollerar du att den inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera den offentliga nätverksåtkomstegenskapen enligt beskrivningen i aka.ms/azureattestation. Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervallet och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. | Granska, neka, inaktiverad | 1.0.0 |
| Azure-attesteringsprovidrar bör använda privata slutpunkter | Privata slutpunkter är ett sätt att ansluta Azure Attestation-leverantörer till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Genom att förhindra offentlig åtkomst hjälper privata slutpunkter till att skydda mot oönstrade anonym åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Automanage
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: En hanterad identitet ska vara aktiverad på dina datorer | Resurser som hanteras av automatisk hantering bör ha en hanterad identitet. | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Automatisk hantering av konfigurationsprofiltilldelningen ska vara överensstämmelse | Resurser som hanteras av automatisk hantering bör ha statusen Conformant eller ConformantCorrected. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Startdiagnostik ska vara aktiverat på virtuella datorer | Virtuella Azure-datorer bör ha startdiagniostik aktiverat. | Granskning, inaktiverad | 1.0.0-preview |
| Konfigurera virtuella datorer som ska registreras i Azure Automanage | Azure Automanage registrerar, konfigurerar och övervakar virtuella datorer med bästa praxis enligt definitionen i Microsoft Cloud Adoption Framework för Azure. Använd den här principen för att tillämpa automatisk hantering på det valda omfånget. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 2.4.0 |
| Konfigurera virtuella datorer som ska registreras i Azure Automanage med anpassad konfigurationsprofil | Azure Automanage registrerar, konfigurerar och övervakar virtuella datorer med bästa praxis enligt definitionen i Microsoft Cloud Adoption Framework för Azure. Använd den här principen för att tillämpa automatisk hantering med din egen anpassade konfigurationsprofil för det valda omfånget. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.4.0 |
| Hotpatch ska vara aktiverat för virtuella Windows Server Azure Edition-datorer | Minimera omstarter och installera uppdateringar snabbt med hotpatch. Läs mer på https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Granska, neka, inaktiverad | 1.0.0 |
Automation
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automation-kontot ska ha hanterad identitet | Använd Hanterade identiteter som den rekommenderade metoden för att autentisera med Azure-resurser från runbooks. Hanterad identitet för autentisering är säkrare och eliminerar hanteringskostnaderna som är associerade med att använda RunAs-kontot i din runbook-kod . | Granskning, inaktiverad | 1.0.0 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Automation-konton bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina Automation-kontoresurser genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Automation-kontot bör ha en lokal autentiseringsmetod inaktiverad | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Automation-konton uteslutande kräver Azure Active Directory-identiteter för autentisering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Automation-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure Automation-konton. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/automation-cmk. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Automation-kontot för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure Automation-konton uteslutande kräver Azure Active Directory-identiteter för autentisering. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Automation-konton för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Azure Automation-kontot så att det inte är tillgängligt via det offentliga Internet. Den här konfigurationen skyddar dem mot dataläckagerisker. Du kan begränsa exponeringen för dina Automation-kontoresurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Automation-konton med privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. Du behöver en privat DNS-zon korrekt konfigurerad för att ansluta till Azure Automation-kontot via Azure Private Link. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera privata slutpunktsanslutningar på Azure Automation-konton | Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Azure Automation-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Azure Automation på https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Privata slutpunktsanslutningar på Automation-konton ska vara aktiverade | Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Automation-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Azure Automation på https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, inaktiverad | 1.0.0 |
Azure Active Directory
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Active Directory-domän Services-hanterade domäner bör använda endast TLS 1.2-läge | Använd endast TLS 1.2-läge för dina hanterade domäner. Som standard möjliggör Azure AD Domain Services användning av chiffer som NTLM v1 och TLS v1. Dessa chiffer kan krävas för vissa äldre program, men anses vara svaga och kan inaktiveras om du inte behöver dem. När läget endast TLS 1.2 är aktiverat misslyckas alla klienter som gör en begäran som inte använder TLS 1.2. Läs mer på https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Granska, neka, inaktiverad | 1.1.0 |
Azure AI Services
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Konfigurera Azure AI Services-resurser för att inaktivera åtkomst till lokal nyckel (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure AI Services-resurser för att inaktivera åtkomst till lokal nyckel (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | DeployIfNotExists, inaktiverad | 1.0.0 |
| Diagnostikloggar i Azure AI-tjänstresurser ska vara aktiverade | Aktivera loggar för Azure AI-tjänstresurser. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte, när en säkerhetsincident inträffar eller om nätverket komprometteras | AuditIfNotExists, inaktiverad | 1.0.0 |
Azure Arc
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Neka licensskapande eller ändring av utökad säkerhet Uppdateringar (ESUs). | Med den här principen kan du begränsa skapandet eller ändringen av ESU-licenser för Windows Server 2012 Arc-datorer. Mer information om priser finns i https://aka.ms/ArcWS2012ESUPricing | Neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Aktivera licens för utökad säkerhet Uppdateringar (ESUs) för att skydda Windows 2012-datorer efter att supportlivscykeln har avslutats. | Aktivera licens för utökad säkerhet Uppdateringar (ESUs) för att skydda Windows 2012-datorer även efter att deras supportlivscykel har avslutats. Lär dig hur du förbereder för att leverera utökad säkerhet Uppdateringar för Windows Server 2012 via AzureArc.https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates Mer information om priser finns i https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| Azure Arc Private Link-omfång bör konfigureras med en privat slutpunkt | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Arc Private Link-omfång minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Arc Private Link-omfång bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att Azure Arc-resurser inte kan ansluta via det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av Azure Arc-resurser. Läs mer på: https://aka.ms/arc/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Arc-aktiverade kubernetes-kluster bör konfigureras med ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Arc-aktiverade servrar bör konfigureras med ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Arc Private Link-omfång för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för ditt Azure Arc Private Link-omfång så att associerade Azure Arc-resurser inte kan ansluta till Azure Arc-tjänster via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/arc/privatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Arc Private Link-omfång för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Arc Private Link-omfång. Läs mer på: https://aka.ms/arc/privatelink. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Azure Arc Private Link-omfång med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Arc Private Link-omfång kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera Azure Arc-aktiverade Kubernetes-kluster så att de använder ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Arc-aktiverade servrar för att använda ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Ändra, inaktiverad | 1.0.0 |
Öppna Azure-datautforskaren
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla databasadministratörer i Azure Data Explorer bör inaktiveras | Inaktivera all databasadministratörsroll för att begränsa beviljandet av högprivilegierad/administrativ användarroll. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Explorer-kluster bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Azure Data Explorer-kluster minskas risken för dataläckage. Läs mer om privata länkar på: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Granskning, inaktiverad | 1.0.0 |
| Azure Data Explorer-kryptering i vila bör använda en kundhanterad nyckel | Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i ditt Azure Data Explorer-kluster får du ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav och kräver ett Key Vault för att hantera nycklarna. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Explorer bör använda en SKU som stöder privat länk | Med SKU:er som stöds kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till appar kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/private-link. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Data Explorer-kluster med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Data Explorer kan du minska risken för dataläckage. Läs mer på: [ServiceSpecificAKA.ms]. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Data Explorer för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar den offentliga nätverksåtkomstegenskapen stängs den offentliga anslutningen så att Azure Data Explorer endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomsten till det offentliga nätverket för alla Azure Data Explorer-kluster . | Ändra, inaktiverad | 1.0.0 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk i Azure Data Explorer bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att Azure Data Explorer endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.0.0 |
| Inmatning av virtuellt nätverk ska vara aktiverat för Azure Data Explorer | Skydda nätverksperimetern med en virtuell nätverksinmatning som gör att du kan tillämpa regler för nätverkssäkerhetsgrupper, ansluta lokalt och skydda dina dataanslutningskällor med tjänstslutpunkter. | Granska, neka, inaktiverad | 1.0.0 |
Azure Databricks
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Databricks-kluster bör inaktivera offentlig IP-adress | Om du inaktiverar offentliga IP-adresser för kluster i Azure Databricks-arbetsytor förbättras säkerheten genom att kluster inte exponeras på det offentliga Internet. Läs mer på: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Databricks-arbetsytor ska finnas i ett virtuellt nätverk | Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Databricks-arbetsytor, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. Läs mer på: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Granska, neka, inaktiverad | 1.0.2 |
| Azure Databricks-arbetsytor ska vara Premium SKU som stöder funktioner som privat länk, kundhanterad nyckel för kryptering | Tillåt endast Databricks-arbetsyta med Premium Sku som din organisation kan distribuera för att stödja funktioner som Private Link, kundhanterad nyckel för kryptering. Läs mer på: https://aka.ms/adbpe. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Databricks-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Databricks-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Databricks-arbetsytor kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/adbpe. | Granskning, inaktiverad | 1.0.2 |
| Konfigurera Azure Databricks-arbetsytan så att den använder privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Databricks-arbetsytor. Läs mer på: https://aka.ms/adbpe. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Databricks-arbetsytor med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Databricks-arbetsytor kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/adbpe. | DeployIfNotExists, inaktiverad | 1.0.2 |
| Konfigurera diagnostikinställningar för Azure Databricks-arbetsytor till Log Analytics-arbetsyta | Distribuerar diagnostikinställningarna för Azure Databricks-arbetsytor för att strömma resursloggar till en Log Analytics-arbetsyta när en Azure Databricks-arbetsyta som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Resursloggar i Azure Databricks-arbetsytor ska vara aktiverade | Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras. | AuditIfNotExists, inaktiverad | 1.0.1 |
Azure Edge Hardware Center
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Edge Hardware Center-enheter bör ha stöd för dubbel kryptering aktiverat | Se till att enheter som beställts från Azure Edge Hardware Center har stöd för dubbel kryptering aktiverat för att skydda vilande data på enheten. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 2.0.0 |
Azure Load Testing
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azures belastningstestningsresurs bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar (CMK) för att hantera krypteringen i vila för din Azure Load Testing-resurs. Som standard görs krypteringen med hjälp av tjänsthanterade nycklar, och kundhanterade nycklar gör att data kan krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Granska, neka, inaktiverad | 1.0.0 |
Azure Purview
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Purview-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina Azure Purview-konton i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/purview-private-link. | Granskning, inaktiverad | 1.0.0 |
Azure Stack Edge
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Stack Edge-enheter bör använda dubbelkryptering | För att skydda vilande data på enheten kontrollerar du att de är dubbelkrypterade, åtkomsten till data kontrolleras och när enheten har inaktiverats raderas data på ett säkert sätt från datadiskarna. Dubbel kryptering är användningen av två krypteringslager: BitLocker XTS-AES 256-bitars kryptering på datavolymerna och inbyggd kryptering av hårddiskarna. Läs mer i dokumentationen för säkerhetsöversikten för den specifika Stack Edge-enheten. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Azure Update Manager
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera periodisk kontroll av saknade systemuppdateringar på Azure Arc-aktiverade servrar | Konfigurera automatisk utvärdering (var 24:e timme) för OS-uppdateringar på Azure Arc-aktiverade servrar. Du kan styra tilldelningsomfånget enligt maskinprenumeration, resursgrupp, plats eller tagg. Läs mer om detta för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Konfigurera periodisk kontroll av saknade systemuppdateringar på virtuella Azure-datorer | Konfigurera automatisk utvärdering (var 24:e timme) för OS-uppdateringar på interna virtuella Azure-datorer. Du kan styra tilldelningsomfånget enligt maskinprenumeration, resursgrupp, plats eller tagg. Läs mer om detta för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas | För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Granska, neka, inaktiverad | 3.7.0 |
| Schemalägga återkommande uppdateringar med Hjälp av Azure Update Manager | Du kan använda Azure Update Manager i Azure för att spara återkommande distributionsscheman för att installera operativsystemuppdateringar för dina Windows Server- och Linux-datorer i Azure, i lokala miljöer och i andra molnmiljöer som är anslutna med Hjälp av Azure Arc-aktiverade servrar. Den här principen ändrar även korrigeringsläget för den virtuella Azure-datorn till "AutomaticByPlatform". Läs mer: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, inaktiverad | 3.10.0 |
Backup
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Backup-tillägget ska installeras i AKS-kluster | Se till att säkerhetsinstallationen av säkerhetskopieringstillägget i dina AKS-kluster används för att utnyttja Azure Backup. Azure Backup för AKS är en säker och molnbaserad dataskyddslösning för AKS-kluster | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Backup ska vara aktiverat för AKS-kluster | Skydda dina AKS-kluster genom att aktivera Azure Backup. Azure Backup för AKS är en säker och molnbaserad dataskyddslösning för AKS-kluster. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Backup ska vara aktiverat för blobar i lagringskonton | Skydda dina lagringskonton genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Backup ska vara aktiverat för hanterade diskar | Skydda dina hanterade diskar genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Backup Vaults bör använda kundhanterade nycklar för att kryptera säkerhetskopieringsdata. Även ett alternativ för att framtvinga infrakryptering. | Den här principen följer "effekten" om kryptering Inställningar är aktiverade för säkerhetskopieringsvalv i omfånget. Dessutom kan du kontrollera om Backup Vault också har infrastrukturkryptering aktiverat. Läs mer på https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Observera att när "Neka"-effekten används måste du aktivera Kryptering Inställningar på befintliga Säkerhetskopieringsvalv för att tillåta att andra uppdateringsåtgärder i valvet går igenom. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Recovery Services-valv bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att Recovery Services-valvet inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av Recovery Services-valv. Läs mer på: https://aka.ms/AB-PublicNetworkAccess-Deny. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Recovery Services-valv bör använda privat länk för säkerhetskopiering | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/AB-PrivateEndpoints. | Granskning, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Recovery Services-valv för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Recovery Services-valvet så att det inte är tillgängligt via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/AB-PublicNetworkAccess-Deny. | Ändra, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera säkerhetskopiering för blobar på lagringskonton med en viss tagg till ett befintligt säkerhetskopieringsvalv i samma region | Framtvinga säkerhetskopiering för blobar på alla lagringskonton som innehåller en viss tagg till ett centralt säkerhetskopieringsvalv. Detta kan hjälpa dig att hantera säkerhetskopiering av blobar som finns i flera lagringskonton i stor skala. Mer information finns i https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera blobsäkerhetskopiering för alla lagringskonton som inte innehåller en viss tagg till ett säkerhetskopieringsvalv i samma region | Framtvinga säkerhetskopiering för blobar på alla lagringskonton som inte innehåller en viss tagg till ett centralt säkerhetskopieringsvalv. Detta kan hjälpa dig att hantera säkerhetskopiering av blobar som finns i flera lagringskonton i stor skala. Mer information finns i https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Recovery Services-valv för att använda privata DNS-zoner för säkerhetskopiering | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till recovery services-valvet. Läs mer på: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Konfigurera Recovery Services-valv för att använda privata slutpunkter för säkerhetskopiering | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Recovery Services-valv kan du minska risken för dataläckage. Observera att dina valv måste uppfylla vissa förutsättningar för att vara berättigade till konfiguration av privata slutpunkter. Läs mer på : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Inaktivera återställning mellan prenumerationer för Azure Recovery Services-valv | Inaktivera eller PermanentDisable Återställning mellan prenumerationer för Recovery Services-valvet så att återställningsmålen inte kan finnas i en annan prenumeration än valvprenumerationen. Läs mer på: https://aka.ms/csrenhancements. | Ändra, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Inaktivera återställning mellan prenumerationer för säkerhetskopieringsvalv | Inaktivera eller PermanentDisable Återställning mellan prenumerationer för säkerhetskopieringsvalvet så att återställningsmålen inte kan finnas i en annan prenumeration än valvprenumerationen. Läs mer på: https://aka.ms/csrstatechange. | Ändra, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Tillåt inte skapande av Recovery Services-valv med vald lagringsredundans. | Recovery Services-valv kan skapas med något av tre alternativ för lagringsredundans i dag, nämligen lokalt redundant lagring, zonredundant lagring och geo-redundant lagring. Om principerna i din organisation kräver att du blockerar skapandet av valv som tillhör en viss redundanstyp kan du uppnå samma sak med den här Azure-principen. | Neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Oföränderlighet måste vara aktiverat för säkerhetskopieringsvalv | Den här principen granskar om egenskapen oföränderliga valv är aktiverad för Säkerhetskopieringsvalv i omfånget. Detta hjälper till att skydda dina säkerhetskopierade data från att tas bort innan de upphör att gälla. Läs mer på https://aka.ms/AB-ImmutableVaults. | Granskning, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Oföränderlighet måste vara aktiverat för Recovery Services-valv | Den här principen granskar om egenskapen oföränderliga valv är aktiverad för Recovery Services-valv i omfånget. Detta hjälper till att skydda dina säkerhetskopierade data från att tas bort innan de upphör att gälla. Läs mer på https://aka.ms/AB-ImmutableVaults. | Granskning, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Mua (Multi-User Authorization) måste vara aktiverat för säkerhetskopieringsvalv. | Den här principen granskar om MUA (Multi-User Authorization) är aktiverat för Säkerhetskopieringsvalv. MUA hjälper dig att skydda dina säkerhetskopieringsvalv genom att lägga till ytterligare ett skyddslager för kritiska åtgärder. Läs mer på https://aka.ms/mua-for-bv. | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Mua (Multi-User Authorization) måste vara aktiverat för Recovery Services-valv. | Den här principen granskar om MUA (Multi-User Authorization) är aktiverat för Recovery Services-valv. MUA hjälper dig att skydda dina Recovery Services-valv genom att lägga till ytterligare ett skyddslager till kritiska åtgärder. Läs mer på https://aka.ms/MUAforRSV. | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Mjuk borttagning måste vara aktiverat för Recovery Services-valv. | Den här principen granskar om mjuk borttagning är aktiverad för Recovery Services-valv i omfånget. Mjuk borttagning kan hjälpa dig att återställa dina data även efter att de har tagits bort. Läs mer på https://aka.ms/AB-SoftDelete. | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Mjuk borttagning ska vara aktiverat för Säkerhetskopieringsvalv | Den här principen granskar om mjuk borttagning är aktiverad för Säkerhetskopieringsvalv i omfånget. Mjuk borttagning kan hjälpa dig att återställa dina data när de har tagits bort. Läs mer på https://aka.ms/AB-SoftDelete | Granskning, inaktiverad | 1.0.0-preview |
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Konfigurera säkerhetskopiering på virtuella datorer med en viss tagg till ett nytt Recovery Services-valv med en standardprincip | Framtvinga säkerhetskopiering för alla virtuella datorer genom att distribuera ett Recovery Services-valv på samma plats och resursgrupp som den virtuella datorn. Detta är användbart när olika programteam i din organisation allokeras separata resursgrupper och behöver hantera sina egna säkerhetskopior och återställningar. Du kan också inkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Konfigurera säkerhetskopiering på virtuella datorer med en viss tagg till ett befintligt Recovery Services-valv på samma plats | Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Det är användbart när det finns ett centralt team i organisationen som hanterar säkerhetskopior för alla resurser i en prenumeration. Du kan också inkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett nytt Recovery Services-valv med en standardprincip | Framtvinga säkerhetskopiering för alla virtuella datorer genom att distribuera ett Recovery Services-valv på samma plats och resursgrupp som den virtuella datorn. Detta är användbart när olika programteam i din organisation allokeras separata resursgrupper och behöver hantera sina egna säkerhetskopior och återställningar. Du kan också undanta virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett befintligt Recovery Services-valv på samma plats | Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Det är användbart när det finns ett centralt team i organisationen som hanterar säkerhetskopior för alla resurser i en prenumeration. Du kan också undanta virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Distribuera diagnostik Inställningar för Recovery Services Vault till Log Analytics-arbetsytan för resursspecifika kategorier. | Distribuera diagnostik Inställningar för Recovery Services Vault för att strömma till Log Analytics-arbetsytan för resursspecifika kategorier. Om någon av resursspecifika kategorier inte är aktiverade skapas en ny diagnostikinställning. | deployIfNotExists | 1.0.2 |
Batch
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Batch-kontot bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar för att hantera krypteringen i resten av batchkontots data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/Batch-CMK. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Batch-pooler bör ha diskkryptering aktiverat | Om du aktiverar Azure Batch-diskkryptering ser du till att data alltid krypteras i vila på din Azure Batch-beräkningsnod. Läs mer om diskkryptering i Batch på https://docs.microsoft.com/azure/batch/disk-encryption. | Granska, inaktiverad, Neka | 1.0.0 |
| Batch-konton ska ha inaktiverat lokala autentiseringsmetoder | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Batch-konton kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/batch/auth. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Batch-konton för att inaktivera lokal autentisering | Inaktivera metoder för platsautentisering så att dina Batch-konton kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/batch/auth. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Batch-konton för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk på ett Batch-konto förbättras säkerheten genom att ditt Batch-konto endast kan nås från en privat slutpunkt. Läs mer om att inaktivera åtkomst till offentliga nätverk på https://docs.microsoft.com/azure/batch/private-connectivity. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Batch-konton med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Batch-konton kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera privata DNS-zoner för privata slutpunkter som ansluter till Batch-konton | Privat DNS poster tillåter privata anslutningar till privata slutpunkter. Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Batch-konton utan behov av offentliga IP-adresser vid källan eller målet. Mer information om privata slutpunkter och DNS-zoner i Batch finns https://docs.microsoft.com/azure/batch/private-connectivityi . | DeployIfNotExists, inaktiverad | 1.0.0 |
| Måttaviseringsregler bör konfigureras på Batch-konton | Granska konfigurationen av måttaviseringsregler på Batch-kontot för att aktivera det mått som krävs | AuditIfNotExists, inaktiverad | 1.0.0 |
| Privata slutpunktsanslutningar på Batch-konton ska vara aktiverade | Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Batch-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Batch på https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för Batch-konton | Om du inaktiverar åtkomst till offentliga nätverk på ett Batch-konto förbättras säkerheten genom att ditt Batch-konto endast kan nås från en privat slutpunkt. Läs mer om att inaktivera åtkomst till offentliga nätverk på https://docs.microsoft.com/azure/batch/private-connectivity. | Granska, neka, inaktiverad | 1.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
Robottjänst
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Bot Service-slutpunkten ska vara en giltig HTTPS-URI | Data kan manipuleras under överföringen. Det finns protokoll som tillhandahåller kryptering för att hantera problem med missbruk och manipulering. För att säkerställa att dina robotar endast kommunicerar via krypterade kanaler anger du slutpunkten till en giltig HTTPS-URI. Detta säkerställer att HTTPS-protokollet används för att kryptera dina data under överföring och är också ofta ett krav för efterlevnad av regler eller branschstandarder. Besök: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Bot Service ska krypteras med en kundhanterad nyckel | Azure Bot Service krypterar automatiskt din resurs för att skydda dina data och uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Som standard används Microsoft-hanterade krypteringsnycklar. Om du vill ha större flexibilitet när det gäller att hantera nycklar eller kontrollera åtkomsten till din prenumeration väljer du kundhanterade nycklar, även kallat BYOK (Bring Your Own Key). Läs mer om Azure Bot Service-kryptering: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Robottjänsten bör ha isolerat läge aktiverat | Robotar ska vara inställda på läget "endast isolerad". Den här inställningen konfigurerar Bot Service-kanaler som kräver att trafik via det offentliga Internet inaktiveras. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Bot Service bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att en robot endast använder AAD för autentisering. | Granska, neka, inaktiverad | 1.0.0 |
| Bot Service bör ha åtkomst till offentligt nätverk inaktiverad | Robotar ska vara inställda på läget "endast isolerad". Den här inställningen konfigurerar Bot Service-kanaler som kräver att trafik via det offentliga Internet inaktiveras. | Granska, neka, inaktiverad | 1.0.0 |
| BotService-resurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din BotService-resurs minskas risken för dataläckage. | Granskning, inaktiverad | 1.0.0 |
| Konfigurera BotService-resurser för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till BotService-relaterade resurser. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera BotService-resurser med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till din BotService-resurs kan du minska risken för dataläckage. | DeployIfNotExists, inaktiverad | 1.0.0 |
Cache
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Cache for Redis bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk förbättras säkerheten genom att Azure Cache for Redis inte exponeras på det offentliga Internet. Du kan begränsa exponeringen för Azure Cache for Redis genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Cache for Redis för att inaktivera icke-SSL-portar | Aktivera endast SSL-anslutningar till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Cache for Redis för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Azure Cache for Redis-resurs så att den inte är tillgänglig via det offentliga Internet. Detta hjälper till att skydda cachen mot dataläckagerisker. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Cache for Redis för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon kan länkas till ditt virtuella nätverk för att matcha till Azure Cache for Redis. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Cache for Redis med privata slutpunkter | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-resurser kan du minska risken för dataläckage. Läs mer på: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
CDN
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Front Door-profiler bör använda Premium-nivå som stöder hanterade WAF-regler och privat länk | Azure Front Door Premium stöder Azure-hanterade WAF-regler och privat länk till Azure-ursprung som stöds. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Front Door Standard och Premium bör köra lägsta TLS-version av 1.2 | Om du ställer in minimal TLS-version på 1.2 förbättras säkerheten genom att se till att dina anpassade domäner nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de är svaga och inte stöder moderna kryptografiska algoritmer. | Granska, neka, inaktiverad | 1.0.0 |
| Säker privat anslutning mellan Azure Front Door Premium och Azure Storage Blob eller Azure App Service | Privat länk säkerställer privat anslutning mellan AFD Premium och Azure Storage Blob eller Azure App Service via Azure-stamnätverket, utan att Azure Storage Blob eller Azure App Service exponeras offentligt för Internet. | Granskning, inaktiverad | 1.0.0 |
ChangeTrackingAndInventory
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Konfigurera Linux Arc-aktiverade datorer så att de associeras med en datainsamlingsregel för ChangeTracking och Inventory | Distribuera Association för att länka Linux Arc-aktiverade datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Linux Arc-aktiverade datorer för att installera AMA för ChangeTracking och Inventory | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Linux Arc-aktiverade datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget om regionen stöds. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som ska associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera Association för att länka virtuella Linux-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventering. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Linux-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.4.0-preview |
| [Förhandsversion]: Konfigurera Linux VMSS så att det associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera association för att länka skalningsuppsättningar för virtuella Linux-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventering. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Linux VMSS för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningarna för virtuella Linux-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0-preview |
| [Förhandsversion]: Konfigurera Windows Arc-aktiverade datorer så att de associeras med en datainsamlingsregel för ChangeTracking och Inventory | Distribuera association för att länka Windows Arc-aktiverade datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows Arc-aktiverade datorer för att installera AMA för ChangeTracking och Inventory | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-aktiverade datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer som ska associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera Association för att länka virtuella Windows-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows VMSS så att det associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera association för att länka Skalningsuppsättningar för virtuella Windows-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows VMSS för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Windows-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
Cognitive Services
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel | Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data som lagras i Cognitive Services krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om kundhanterade nycklar på https://go.microsoft.com/fwlink/?linkid=2121321. | Granska, neka, inaktiverad | 2.1.0 |
| Cognitive Services-konton bör använda en hanterad identitet | Genom att tilldela en hanterad identitet till ditt Cognitive Service-konto kan du säkerställa säker autentisering. Den här identiteten används av det här Cognitive Service-kontot för att kommunicera med andra Azure-tjänster, till exempel Azure Key Vault, på ett säkert sätt utan att du behöver hantera några autentiseringsuppgifter. | Granska, neka, inaktiverad | 1.0.0 |
| Cognitive Services-konton bör använda kundägd lagring | Använd kundägd lagring för att styra data som lagras i vila i Cognitive Services. Mer information om kundägd lagring finns i https://aka.ms/cogsvc-cmk. | Granska, neka, inaktiverad | 2.0.0 |
| Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.0 |
| Konfigurera Cognitive Services-konton för att inaktivera lokala autentiseringsmetoder | Inaktivera lokala autentiseringsmetoder så att dina Cognitive Services-konton kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/cs/auth. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Cognitive Services-konton för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Cognitive Services-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2129800. | Inaktiverad, ändra | 3.0.0 |
| Konfigurera Cognitive Services-konton för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Cognitive Services-konton. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Cognitive Services-konton med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, inaktiverad | 3.0.0 |
Compute
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillåtna SKU:er för virtuell datorstorlek | Med den här principen kan du ange en uppsättning SKU:er för virtuella datorer som din organisation kan distribuera. | Neka | 1.0.1 |
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Granska virtuella datorer som inte använder hanterade diskar | Den här principen granskar virtuella datorer som inte använder hanterade diskar | granska | 1.0.0 |
| Konfigurera haveriberedskap på virtuella datorer genom att aktivera replikering via Azure Site Recovery | Virtuella datorer utan konfigurationer för haveriberedskap är sårbara för avbrott och andra störningar. Om den virtuella datorn inte redan har konfigurerat haveriberedskap initierar detta samma genom att aktivera replikering med hjälp av förinställda konfigurationer för att underlätta affärskontinuitet. Du kan också inkludera/exkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Konfigurera diskåtkomstresurser för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till en hanterad disk. Läs mer på: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera diskåtkomstresurser med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till diskåtkomstresurser kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera hanterade diskar för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din hanterade diskresurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/disksprivatelinksdoc. | Ändra, inaktiverad | 2.0.0 |
| Distribuera standardtillägget Microsoft IaaSAntimalware för Windows Server | Den här principen distribuerar ett Microsoft IaaSAntimalware-tillägg med en standardkonfiguration när en virtuell dator inte har konfigurerats med tillägget för program mot skadlig kod. | deployIfNotExists | 1.1.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption. | Granska, neka, inaktiverad | 1.0.0 |
| Hanterade diskar bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att en hanterad disk inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av hanterade diskar. Läs mer på: https://aka.ms/disksprivatelinksdoc. | Granskning, inaktiverad | 2.0.0 |
| Hanterade diskar bör använda en specifik uppsättning diskkrypteringsuppsättningar för kundhanterad nyckelkryptering | Om du kräver en specifik uppsättning diskkrypteringsuppsättningar som ska användas med hanterade diskar får du kontroll över de nycklar som används för kryptering i vila. Du kan välja de tillåtna krypterade uppsättningarna och alla andra avvisas när de är anslutna till en disk. Läs mer på https://aka.ms/disks-cmk. | Granska, neka, inaktiverad | 2.0.0 |
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Endast godkända VM-tillägg ska installeras | Den här principen styr de tillägg för virtuella datorer som inte är godkända. | Granska, neka, inaktiverad | 1.0.0 |
| OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet på dina hanterade diskar. Som standard krypteras data i vila med plattformshanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/disks-cmk. | Granska, neka, inaktiverad | 3.0.0 |
| Skydda dina data med autentiseringskrav vid export eller uppladdning till en disk eller ögonblicksbild. | När export-/uppladdnings-URL används kontrollerar systemet om användaren har en identitet i Azure Active Directory och har nödvändiga behörigheter för att exportera/ladda upp data. Se aka.ms/DisksAzureADAuth. | Ändra, inaktiverad | 1.0.0 |
| Kräv automatisk uppdatering av OS-avbildningar på VM-skalningsuppsättningar | Den här principen framtvingar aktivering av automatisk uppdatering av OS-avbildningar på vm-skalningsuppsättningar för att alltid skydda virtuella datorer genom att tillämpa de senaste säkerhetskorrigeringarna varje månad på ett säkert sätt. | avvisa | 1.0.0 |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
Container Apps
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Autentisering ska vara aktiverat i Container Apps | Autentisering av containerappar är en funktion som kan förhindra att anonyma HTTP-begäranden når containerappen eller autentisera dem som har token innan de når containerappen | AuditIfNotExists, inaktiverad | 1.0.1 |
| Container App-miljöer bör använda nätverksinmatning | Container Apps-miljöer bör använda virtuell nätverksinmatning till: 1.Isolera containerappar från det offentliga Internet 2.Aktivera nätverksintegrering med resurser lokalt eller i andra virtuella Azure-nätverk 3.Få mer detaljerad kontroll över nätverkstrafik som flödar till och från miljön. | Granska, inaktiverad, Neka | 1.0.2 |
| ContainerApp bör konfigureras med volymmontering | Framtvinga användning av volymmonteringar för Container Apps för att säkerställa tillgängligheten för beständig lagringskapacitet. | Granska, neka, inaktiverad | 1.0.1 |
| Container Apps-miljön bör inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomsten till det offentliga nätverket för att förbättra säkerheten genom att exponera Container Apps-miljön via en intern lastbalanserare. Detta tar bort behovet av en offentlig IP-adress och förhindrar internetåtkomst till alla Container Apps i miljön. | Granska, neka, inaktiverad | 1.0.1 |
| Container Apps bör inaktivera åtkomst till externt nätverk | Inaktivera extern nätverksåtkomst till dina Container Apps genom att framtvinga interna ingresser. Detta säkerställer att inkommande kommunikation för Container Apps är begränsad till anropare i Container Apps-miljön. | Granska, neka, inaktiverad | 1.0.1 |
| Container Apps bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Om du inaktiverar "allowInsecure" kommer det att leda till automatisk omdirigering av begäranden från HTTP till HTTPS-anslutningar för containerappar. | Granska, neka, inaktiverad | 1.0.1 |
| Hanterad identitet ska vara aktiverad för Container Apps | Framtvinga hanterad identitet säkerställer att Container Apps kan autentiseras på ett säkert sätt till alla resurser som stöder Azure AD-autentisering | Granska, neka, inaktiverad | 1.0.1 |
Containerinstans
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Container Instance-containergruppen bör distribueras till ett virtuellt nätverk | Säker kommunikation mellan dina containrar med Azure Virtual Networks. När du anger ett virtuellt nätverk kan resurser i det virtuella nätverket kommunicera säkert och privat med varandra. | Granska, inaktiverad, Neka | 2.0.0 |
| Azure Container Instance-containergruppen bör använda kundhanterad nyckel för kryptering | Skydda dina containrar med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granska, inaktiverad, Neka | 1.0.0 |
| Konfigurera diagnostikinställningar för containergrupper till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Container Instance för att strömma resursloggar till en Log Analytics-arbetsyta när en containerinstans som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Container Instances
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera diagnostik för containergrupp till log analytics-arbetsyta | Lägger till den angivna log analytics-arbetsytanId och workspaceKey när en containergrupp som saknar dessa fält skapas eller uppdateras. Ändrar inte fälten i de containergrupper som skapades innan den här principen tillämpades förrän dessa resursgrupper har ändrats. | Lägg till, inaktiverad | 1.0.0 |
Container Registry
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera containerregister för att inaktivera anonym autentisering. | Inaktivera anonym pull för registret så att data inte kan nås av en oautentiserad användare. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister för att inaktivera autentisering med ARM-målgruppstoken. | Inaktivera Azure Active Directory ARM-målgruppstoken för autentisering till registret. Endast ACR-målgruppstoken (Azure Container Registry) används för autentisering. Detta säkerställer att endast token som är avsedda för användning i registret kan användas för autentisering. Inaktivering av ARM-målgruppstoken påverkar inte administratörsanvändarens eller begränsade åtkomsttokens autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister för att inaktivera det lokala administratörskontot. | Inaktivera administratörskontot för registret så att det inte är tillgängligt för den lokala administratören. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera containerregister för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för containerregisterresursen så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister för att inaktivera lagringsplatsens begränsade åtkomsttoken. | Inaktivera lagringsplatsens begränsade åtkomsttoken för registret så att lagringsplatser inte kan nås av token. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till containerregistret. Läs mer på: https://aka.ms/privatednszone och https://aka.ms/acr/private-link. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera containerregister med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina premium-containerregisterresurser kan du minska risken för dataläckage. Läs mer på: https://aka.ms/privateendpoints och https://aka.ms/acr/private-link. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
| Containerregister bör ha anonym autentisering inaktiverad. | Inaktivera anonym pull för registret så att data inte kan nås av en oautentiserad användare. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha autentisering av ARM-målgruppstoken inaktiverat. | Inaktivera Azure Active Directory ARM-målgruppstoken för autentisering till registret. Endast ACR-målgruppstoken (Azure Container Registry) används för autentisering. Detta säkerställer att endast token som är avsedda för användning i registret kan användas för autentisering. Inaktivering av ARM-målgruppstoken påverkar inte administratörsanvändarens eller begränsade åtkomsttokens autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha exporter inaktiverade | Om du inaktiverar exporter förbättras säkerheten genom att säkerställa att data i ett register endast nås via dataplanen ("docker pull"). Det går inte att flytta data från registret via "acr import" eller via "acr transfer". För att inaktivera exporter måste åtkomsten till det offentliga nätverket inaktiveras. Läs mer på: https://aka.ms/acr/export-policy. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha ett lokalt administratörskonto inaktiverat. | Inaktivera administratörskontot för registret så att det inte är tillgängligt för den lokala administratören. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.1 |
| Containerregister bör ha åtkomsttoken för lagringsplatsomfattning inaktiverad. | Inaktivera lagringsplatsens begränsade åtkomsttoken för registret så att lagringsplatser inte kan nås av token. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha SKU:er som stöder privata länkar | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten minskas risken för dataläckage. Läs mer på: https://aka.ms/acr/private-link. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör förhindra att cacheregel skapas | Inaktivera skapande av cacheregel för Azure Container Registry för att förhindra pull-hämtning av cacheminnen. Läs mer på: https://aka.ms/acr/cache. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| Åtkomst till offentligt nätverk ska inaktiveras för containerregister | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att containerregister inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av containerregisterresurser. Läs mer på: https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link. | Granska, neka, inaktiverad | 1.0.0 |
Cosmos DB
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.0.0 |
| Azure Cosmos DB-konton bör inte överskrida det maximala antalet tillåtna dagar sedan den senaste kontonyckeln återskapas. | Återskapa dina nycklar under den angivna tiden för att skydda dina data mer. | Granskning, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Tillåtna platser i Azure Cosmos DB | Med den här principen kan du begränsa de platser som din organisation kan ange när du distribuerar Azure Cosmos DB-resurser. Den används för att genomdriva kraven på geo-efterlevnad. | [parameters('policyEffect')] | 1.1.0 |
| Skrivåtkomst för azure Cosmos DB-nyckelbaserade metadata bör inaktiveras | Med den här principen kan du se till att alla Azure Cosmos DB-konton inaktiverar skrivåtkomst för nyckelbaserade metadata. | append | 1.0.0 |
| Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt CosmosDB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt CosmosDB-konto. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cosmos DB-dataflödet bör vara begränsat | Med den här principen kan du begränsa det maximala dataflöde som din organisation kan ange när du skapar Azure Cosmos DB-databaser och -containrar via resursprovidern. Det blockerar skapandet av autoskalningsresurser. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Konfigurera Cosmos DB-databaskonton för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera CosmosDB-konton för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för din CosmosDB-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera CosmosDB-konton för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till CosmosDB-kontot. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera CosmosDB-konton med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till ditt CosmosDB-konto kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Granska, neka, inaktiverad | 1.1.0 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Distribuera Advanced Threat Protection för Cosmos DB-konton | Den här principen aktiverar Advanced Threat Protection mellan Cosmos DB-konton. | DeployIfNotExists, inaktiverad | 1.0.0 |
Anpassad provider
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Distribuera associationer för en anpassad provider | Distribuerar en associationsresurs som associerar valda resurstyper med den angivna anpassade providern. Den här principdistributionen stöder inte kapslade resurstyper. | deployIfNotExists | 1.0.0 |
Data Box
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Box-jobb bör använda en kundhanterad nyckel för att kryptera lösenordet för enhetens upplåsning | Använd en kundhanterad nyckel för att styra krypteringen av enhetens upplåsningslösenord för Azure Data Box. Kundhanterade nycklar hjälper också till att hantera åtkomsten till enhetens upplåsningslösenord av Data Box-tjänsten för att förbereda enheten och kopiera data på ett automatiserat sätt. Data på själva enheten är redan krypterade i vila med Advanced Encryption Standard 256-bitarskryptering, och lösenordet för enhetens upplåsning krypteras som standard med en Microsoft-hanterad nyckel. | Granska, neka, inaktiverad | 1.0.0 |
Data Factory
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Data Factory-pipelines bör endast kommunicera med tillåtna domäner | Om du vill förhindra exfiltrering av data och token anger du de domäner som Azure Data Factory ska tillåtas att kommunicera med. Obs! I den offentliga förhandsversionen rapporteras inte efterlevnaden för den här principen, och för att principen ska tillämpas på Data Factory aktiverar du funktionen för utgående regler i ADF-studion. Mer information finns på https://aka.ms/data-exfiltration-policy. | Neka, inaktiverad | 1.0.0-preview |
| Azure-datafabriker ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Data Factory. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/adf-cmk. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Data Factory-integreringskörningen bör ha en gräns för antalet kärnor | Om du vill hantera dina resurser och kostnader begränsar du antalet kärnor för en integrationskörning. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Factory-länkad tjänstresurstyp ska finnas i listan över tillåtna | Definiera listan över tillåtna Azure Data Factory-länkade tjänsttyper. Genom att begränsa tillåtna resurstyper kan du styra dataflyttens gräns. Begränsa till exempel ett omfång till att endast tillåta bloblagring med Data Lake Storage Gen1 och Gen2 för analys eller ett omfång för att endast tillåta SQL- och Kusto-åtkomst för realtidsfrågor. | Granska, neka, inaktiverad | 1.1.0 |
| Länkade Azure Data Factory-tjänster bör använda Key Vault för att lagra hemligheter | För att säkerställa att hemligheter (till exempel anslutningssträng) hanteras på ett säkert sätt måste användarna ange hemligheter med hjälp av ett Azure Key Vault i stället för att ange dem infogade i länkade tjänster. | Granska, neka, inaktiverad | 1.0.0 |
| Länkade Azure Data Factory-tjänster bör använda systemtilldelad hanterad identitetsautentisering när det stöds | Om du använder systemtilldelad hanterad identitet när du kommunicerar med datalager via länkade tjänster undviks användningen av mindre skyddade autentiseringsuppgifter, till exempel lösenord eller anslutningssträng. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Data Factory bör använda en Git-lagringsplats för källkontroll | Konfigurera endast din utvecklingsdatafabrik med Git-integrering. Ändringar i test och produktion ska distribueras via CI/CD och bör INTE ha Git-integrering. Tillämpa INTE den här principen på dina QA/Test/Produktionsdatafabriker. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera datafabriker för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för datafabriken så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera privata DNS-zoner för privata slutpunkter som ansluter till Azure Data Factory | Privat DNS poster tillåter privata anslutningar till privata slutpunkter. Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Din Azure Data Factory utan att behöva offentliga IP-adresser vid källan eller målet. Mer information om privata slutpunkter och DNS-zoner i Azure Data Factory finns https://docs.microsoft.com/azure/data-factory/data-factory-private-linki . | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera privata slutpunkter för datafabriker | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till din Azure Data Factory kan du minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk i Azure Data Factory bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att azure datafabriken endast kan nås från en privat slutpunkt. | Granska, neka, inaktiverad | 1.0.0 |
| SQL Server Integration Services-integreringskörningar på Azure Data Factory bör vara anslutna till ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet och isolering för sql Server Integration Services-integreringskörningar i Azure Data Factory, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. | Granska, neka, inaktiverad | 2.3.0 |
Data Lake
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kräv kryptering på Data Lake Store-konton | Den här principen säkerställer att kryptering är aktiverat på alla Data Lake Store-konton | avvisa | 1.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
Skrivbordsvirtualisering
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Virtual Desktop-värdpooler bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten och dina data skyddas genom att åtkomsten till Azure Virtual Desktop-tjänsten inte exponeras för det offentliga Internet. Läs mer på: https://aka.ms/avdprivatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Virtual Desktop-värdpooler bör endast inaktivera åtkomst till offentliga nätverk på sessionsvärdar | Att inaktivera åtkomst till offentligt nätverk för värdpoolsvärdar i Azure Virtual Desktop, men att tillåta offentlig åtkomst för slutanvändare förbättrar säkerheten genom att begränsa exponeringen för det offentliga Internet. Läs mer på: https://aka.ms/avdprivatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Virtual Desktop-tjänsten bör använda privat länk | Om du använder Azure Private Link med dina Azure Virtual Desktop-resurser kan du förbättra säkerheten och skydda dina data. Läs mer om privata länkar på: https://aka.ms/avdprivatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Virtual Desktop-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket för din Azure Virtual Desktop-arbetsyteresurs förhindrar du att flödet blir tillgängligt via det offentliga Internet. Att endast tillåta åtkomst till privata nätverk förbättrar säkerheten och skyddar dina data. Läs mer på: https://aka.ms/avdprivatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Virtual Desktop-värdpoolresurser för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Virtual Desktop-resurser. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Virtual Desktop-värdpooler för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för sessionsvärdar och slutanvändare på din Azure Virtual Desktop-värdpoolresurs så att den inte är tillgänglig via det offentliga Internet. Detta förbättrar säkerheten och skyddar dina data. Läs mer på: https://aka.ms/avdprivatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Virtual Desktop-värdpooler för att inaktivera åtkomst till offentligt nätverk endast för sessionsvärdar | Inaktivera åtkomst till offentligt nätverk för dina värdpoolssessionsvärdar för Azure Virtual Desktop, men tillåt offentlig åtkomst för slutanvändare. Detta gör att användarna fortfarande kan komma åt AVD-tjänsten samtidigt som sessionsvärden endast är tillgänglig via privata vägar. Läs mer på: https://aka.ms/avdprivatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Virtual Desktop-värdpooler med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Virtual Desktop-resurser kan du förbättra säkerheten och skydda dina data. Läs mer på: https://aka.ms/avdprivatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Virtual Desktop-arbetsyteresurser för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Virtual Desktop-resurser. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Virtual Desktop-arbetsytor för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för din Azure Virtual Desktop-arbetsyteresurs så att flödet inte är tillgängligt via det offentliga Internet. Detta förbättrar säkerheten och skyddar dina data. Läs mer på: https://aka.ms/avdprivatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Virtual Desktop-arbetsytor med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Virtual Desktop-resurser kan du förbättra säkerheten och skydda dina data. Läs mer på: https://aka.ms/avdprivatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
DevCenter
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Microsoft Dev Box-pooler bör inte använda Microsoft Hosted Networks. | Tillåter inte användning av Microsoft Hosted Networks när du skapar poolresurser. | Granska, neka, inaktiverad | 1.0.0-preview |
ElasticSan
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| ElasticSan bör inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för ElasticSan så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. | Granska, neka, inaktiverad | 1.0.0 |
| ElasticSan Volume Group bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av VolumeGroup. Som standard krypteras kunddata med plattformshanterade nycklar, men CMK:er krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig, med fullständig kontroll och ansvar, inklusive rotation och hantering. | Granskning, inaktiverad | 1.0.0 |
| ElasticSan-volymgruppen bör använda privata slutpunkter | Med privata slutpunkter kan administratören ansluta virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till volymgruppen kan administratören minska risken för dataläckage | Granskning, inaktiverad | 1.0.0 |
Event Grid
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Event Grid-domäner bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Event Grid-domäner uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-namnrymden MQTT-asynkron bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Grid-namnområdet i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/aeg-ns-privateendpoints. | Granskning, inaktiverad | 1.0.0 |
| Azure Event Grid-namnområdesämneskoordinator bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Grid-namnområdet i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/aeg-ns-privateendpoints. | Granskning, inaktiverad | 1.0.0 |
| Azure Event Grid-namnområden bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/aeg-ns-privateendpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Event Grid-partnernamnområden bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Event Grid-partnernamnområden uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Event Grid-ämnen bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Event Grid-ämnen bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Event Grid-ämnen uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Konfigurera Azure Event Grid-domäner för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure Event Grid-domäner uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Event Grid-namnrymdens MQTT-asynkron meddelandekö med privata slutpunkter | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina resurser skyddas de mot dataläckagerisker. Läs mer på: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Event Grid-namnområden med privata slutpunkter | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina resurser skyddas de mot dataläckagerisker. Läs mer på: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Event Grid-partnernamnområden för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure Event Grid-partnernamnområden uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Event Grid-ämnen för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure Event Grid-ämnen uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth. | Ändra, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera Azure Event Grid-domäner för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. Läs mer på: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuera – Konfigurera Azure Event Grid-domäner med privata slutpunkter | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina resurser skyddas de mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera Azure Event Grid-ämnen för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. Läs mer på: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuera – Konfigurera Azure Event Grid-ämnen med privata slutpunkter | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina resurser skyddas de mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Ändra – Konfigurera Azure Event Grid-domäner för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Azure Event Grid-resursen så att den inte är tillgänglig via det offentliga Internet. Detta hjälper till att skydda dem mot dataläckagerisker. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints. | Ändra, inaktiverad | 1.0.0 |
| Ändra – Konfigurera Azure Event Grid-ämnen för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Azure Event Grid-resursen så att den inte är tillgänglig via det offentliga Internet. Detta hjälper till att skydda dem mot dataläckagerisker. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints. | Ändra, inaktiverad | 1.0.0 |
Händelsehubben
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla auktoriseringsregler utom RootManageSharedAccessKey bör tas bort från Event Hub-namnområdet | Event Hub-klienter bör inte använda en åtkomstprincip på namnområdesnivå som ger åtkomst till alla köer och ämnen i ett namnområde. Om du vill anpassa dig till säkerhetsmodellen med minst privilegier bör du skapa åtkomstprinciper på entitetsnivå för köer och ämnen för att endast ge åtkomst till den specifika entiteten | Granska, neka, inaktiverad | 1.0.1 |
| Auktoriseringsregler för Event Hub-instansen bör definieras | Granska förekomsten av auktoriseringsregler för Event Hub-entiteter för att bevilja åtkomst med minst privilegier | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Hub-namnområden bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Event Hub-namnområden uteslutande kräver Microsoft Entra-ID-identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-eh. | Granska, neka, inaktiverad | 1.0.1 |
| Konfigurera Azure Event Hub-namnområden för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure Event Hub-namnområden uteslutande kräver Microsoft Entra-ID-identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-eh. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera Event Hub-namnområden för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Event Hub-namnområden. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Event Hub-namnområden med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Event Hub-namnområden kan du minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör inaktivera åtkomst till offentligt nätverk | Azure Event Hub bör ha åtkomst till det offentliga nätverket inaktiverat. Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service | Granska, neka, inaktiverad | 1.0.0 |
| Event Hub-namnområden ska ha dubbel kryptering aktiverat | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda en kundhanterad nyckel för kryptering | Azure Event Hubs stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Event Hub använder för att kryptera data i ditt namnområde. Observera att Event Hub endast stöder kryptering med kundhanterade nycklar för namnområden i dedikerade kluster. | Granskning, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
Vätskerelä
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Fluid Relay bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av Fluid Relay-servern. Som standard krypteras kunddata med tjänsthanterade nycklar, men CMK:er krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig, med fullständig kontroll och ansvar, inklusive rotation och hantering. Läs mer på https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Granskning, inaktiverad | 1.0.0 |
Allmänt
| Namn (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillåtna platser | Med den här principen kan du begränsa vilka platser som organisationen kan ange när den distribuerar resurser. Den används för att genomdriva kraven på geo-efterlevnad. Resursgrupper, Microsoft.AzureActiveDirectory/b2cDirectories och resurser som använder regionen ”global” undantas. | avvisa | 1.0.0 |
| Tillåtna platser för resursgrupper | Med den här principen kan du begränsa de platser som din organisation kan skapa resursgrupper i. Den används för att genomdriva kraven på geo-efterlevnad. | avvisa | 1.0.0 |
| Tillåtna resurstyper | Med den här principen kan du ange de resurstyper som din organisation kan distribuera. Endast resurstyper som stöder "taggar" och "plats" påverkas av den här principen. Om du vill begränsa alla resurser duplicerar du den här principen och ändrar läget till "Alla". | avvisa | 1.0.0 |
| Granskningsresursplatsen matchar resursgruppens plats | Granska att resursplatsen matchar resursgruppens plats | granska | 2.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Konfigurera prenumerationer för att konfigurera förhandsversionsfunktioner | Den här principen utvärderar den befintliga prenumerationens förhandsversionsfunktioner. Prenumerationer kan åtgärdas för att registrera sig för en ny förhandsversionsfunktion. Nya prenumerationer registreras inte automatiskt. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.1 |
| Tillåt inte borttagning av resurstyper | Med den här principen kan du ange de resurstyper som din organisation kan skydda mot oavsiktlig borttagning genom att blockera borttagningsanrop med hjälp av åtgärden Neka. | DenyAction, inaktiverad | 1.0.1 |
| Tillåt inte M365-resurser | Blockera skapandet av M365-resurser. | Granska, neka, inaktiverad | 1.0.0 |
| Tillåt inte MCPP-resurser | Blockera skapandet av MCPP-resurser. | Granska, neka, inaktiverad | 1.0.0 |
| Exkludera resurser för användningskostnader | Med den här principen kan du använda resurser för användningskostnader. Användningskostnader omfattar saker som lagring med dataförbrukning och Azure-resurser som faktureras baserat på användning. | Granska, neka, inaktiverad | 1.0.0 |
| Otillåtna resurstyper | Begränsa vilka resurstyper som kan distribueras i din miljö. Att begränsa resurstyper kan minska komplexiteten och angreppsytan i din miljö samtidigt som det hjälper till att hantera kostnader. Efterlevnadsresultat visas endast för icke-kompatibla resurser. | Granska, neka, inaktiverad | 2.0.0 |
Gästkonfiguration
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Lägg till användartilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer | Den här principen lägger till en användartilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration. En användartilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Konfigurera Windows Server för att inaktivera lokala användare. | Skapar en gästkonfigurationstilldelning för att konfigurera inaktivering av lokala användare på Windows Server. Detta säkerställer att Windows-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | DeployIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Utökad säkerhet Uppdateringar ska installeras på Windows Server 2012 Arc-datorer. | Windows Server 2012 Arc-datorer bör ha installerat alla extended security-Uppdateringar som släppts av Microsoft. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Linux-datorer bör uppfylla kraven för Azure-säkerhetsbaslinjen för Docker-värdar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorn är inte korrekt konfigurerad för någon av rekommendationerna i Azure-säkerhetsbaslinjen för Docker-värdar. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Linux-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i STIG-efterlevnadskravet för Azure-beräkning. DISA (Defense Information Systems Agency) tillhandahåller tekniska guider STIG (Security Technical Implementation Guide) för att skydda beräkningsoperativsystemet enligt vad som krävs av Department of Defense (DoD). Mer information finns i https://public.cyber.mil/stigs/. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Linux-datorer med OMI installerat bör ha version 1.6.8-1 eller senare | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. På grund av en säkerhetskorrigering som ingår i version 1.6.8-1 av OMI-paketet för Linux bör alla datorer uppdateras till den senaste versionen. Uppgradera appar/paket som använder OMI för att lösa problemet. Mer information finns i https://aka.ms/omiguidance. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Nexus Compute Machines bör uppfylla säkerhetsbaslinjen | Använder Azure Policy-gästkonfigurationsagenten för granskning. Den här principen säkerställer att datorerna följer nexus-beräkningssäkerhetsbaslinjen, som omfattar olika rekommendationer som utformats för att stärka datorer mot en rad sårbarheter och osäkra konfigurationer (endast Linux). | AuditIfNotExists, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Windows-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i STIG-efterlevnadskrav för Azure-beräkning. DISA (Defense Information Systems Agency) tillhandahåller tekniska guider STIG (Security Technical Implementation Guide) för att skydda beräkningsoperativsystemet enligt vad som krävs av Department of Defense (DoD). Mer information finns i https://public.cyber.mil/stigs/. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som inte har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern inte är installerade. | AuditIfNotExists, inaktiverad | 4.2.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern är installerade. | AuditIfNotExists, inaktiverad | 4.2.0 |
| Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska nätverksanslutningar för Windows-datorer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om en nätverksanslutningsstatus till en IP- och TCP-port inte matchar principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer där DSC-konfigurationen inte är kompatibel | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows PowerShell-kommandot Get-DSCConfigurationStatus returnerar att DSC-konfigurationen för datorn inte är kompatibel. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer där Log Analytics-agenten inte är ansluten som förväntat | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om agenten inte är installerad eller om den är installerad men COM-objektet AgentConfigManager.MgmtSvcCfg returnerar att den är registrerad på en annan arbetsyta än det ID som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer där de angivna tjänsterna inte är installerade och "Körs" | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om resultatet av Windows PowerShell-kommandot Get-Service inte innehåller tjänstnamnet med matchande status enligt principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer där Windows-seriekonsolen inte är aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte har seriekonsolprogramvaran installerad eller om EMS-portnumret eller överföringshastigheten inte har konfigurerats med samma värden som principparametrarna. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte är anslutna till den angivna domänen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om värdet för egenskapen Domän i WMI-klassen win32_computersystem inte matchar värdet i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte är inställda på den angivna tidszonen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om värdet för egenskapen StandardName i WMI-klassen Win32_TimeZone inte matchar den valda tidszonen för principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som innehåller certifikat som upphör att gälla inom det angivna antalet dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om certifikaten i det angivna arkivet har ett utgångsdatum som är inaktuellt för det antal dagar som anges som parameter. Principen ger också möjlighet att endast söka efter specifika certifikat eller exkludera specifika certifikat och om du vill rapportera om utgångna certifikat. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte innehåller de angivna certifikaten i betrodd rot | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorns betrodda rotcertifikatarkiv (Cert:\LocalMachine\Root) inte innehåller ett eller flera av de certifikat som anges av principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den högsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för maximal lösenordsålder är 70 dagar | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den lägsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för lägsta lösenordsålder är 1 dag | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte har den angivna Windows PowerShell-körningsprincipen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows PowerShell-kommandot Get-ExecutionPolicy returnerar ett annat värde än det som valdes i principparametern. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Windows-datorer som inte har de angivna Windows PowerShell-modulerna installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om en modul inte är tillgänglig på en plats som anges av miljövariabeln PSModulePath. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet inte finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har extra konton i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller medlemmar som inte visas i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte har startats om inom det angivna antalet dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om WMI-egenskapen LastBootUpTime i klass Win32_Operatingsystem ligger utanför det antal dagar som anges av principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska virtuella Windows-datorer med en väntande omstart | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn väntar på omstart av någon av följande orsaker: komponentbaserad service, Windows Update, väntande filbyte, väntande datorbyte, konfigurationshanteraren väntar på omstart. Varje identifiering har en unik registersökväg. | auditIfNotExists | 2.0.0 |
| Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Konfigurera Linux Server för att inaktivera lokala användare. | Skapar en gästkonfigurationstilldelning för att konfigurera inaktivering av lokala användare på Linux Server. Detta säkerställer att Linux-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | DeployIfNotExists, inaktiverad | 1.3.0-preview |
| Konfigurera protokoll för säker kommunikation (TLS 1.1 eller TLS 1.2) på Windows-datorer | Skapar en gästkonfigurationstilldelning för att konfigurera den angivna säkerhetsprotokollversionen (TLS 1.1 eller TLS 1.2) på Windows-datorn. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera tidszon på Windows-datorer. | Den här principen skapar en gästkonfigurationstilldelning för att ange angiven tidszon på virtuella Windows-datorer. | deployIfNotExists | 2.1.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Linux-datorer bör ha Log Analytics-agent installerad på Azure Arc | Datorer är inkompatibla om Log Analytics-agenten inte är installerad på Azure Arc-aktiverad Linux-server. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.2.0 |
| Linux-datorer bör endast ha lokala konton som är tillåtna | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Att hantera användarkonton med Hjälp av Azure Active Directory är en bra metod för hantering av identiteter. Genom att minska antalet lokala datorkonton kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är inkompatibla om det finns lokala användarkonton som är aktiverade och inte anges i principparametern. | AuditIfNotExists, inaktiverad | 2.2.0 |
| Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.2.1 |
| Lokala autentiseringsmetoder bör inaktiveras på Linux-datorer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-servrar inte har inaktiverat lokala autentiseringsmetoder. Detta är för att verifiera att Linux-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| Lokala autentiseringsmetoder bör inaktiveras på Windows-servrar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-servrar inte har inaktiverat lokala autentiseringsmetoder. Detta är för att verifiera att Windows-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| Privata slutpunkter för gästkonfigurationstilldelningar ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till gästkonfiguration för virtuella datorer. Virtuella datorer är inte kompatibla om de inte har taggen "EnablePrivateNetworkGC". Den här taggen framtvingar säker kommunikation via privat anslutning till gästkonfiguration för virtuella datorer. Privat anslutning begränsar åtkomsten till trafik som endast kommer från kända nätverk och förhindrar åtkomst från alla andra IP-adresser, inklusive i Azure. | Granska, neka, inaktiverad | 1.1.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
| Windows-datorer bör konfigurera Windows Defender för att uppdatera skyddssignaturer inom en dag | För att ge tillräckligt skydd mot nyligen släppt skadlig kod måste Windows Defender-skyddssignaturer uppdateras regelbundet för att ta hänsyn till nyligen släppt skadlig kod. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Windows-datorer bör aktivera Realtidsskydd för Windows Defender | Windows-datorer bör aktivera realtidsskydd i Windows Defender för att ge tillräckligt skydd mot nyligen släppt skadlig kod. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Windows-datorer bör ha Log Analytics-agent installerad på Azure Arc | Datorer är inkompatibla om Log Analytics-agenten inte är installerad på Azure Arc-aktiverad Windows-server. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – Kontrollpanelen" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – Kontrollpanelen för anpassning av indata och förebyggande av aktivering av låsskärmar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – MSS (äldre)" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – MSS (äldre)" för automatisk inloggning, skärmsläckare, nätverksbeteende, säker DLL och händelselogg. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – nätverk" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – nätverk för gästinloggningar, samtidiga anslutningar, nätverksbrygga, ICS och namnmatchning för flera sändningar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – system" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Administrativa mallar – system" för inställningar som styr den administrativa upplevelsen och fjärrhjälp. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – konton" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – konton för att begränsa användningen av tomma lösenord och gästkontostatus för lokala konton. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – granskning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – granskning" för att tvinga granskningsprincipunderkategori och stänga om det inte går att logga säkerhetsgranskningar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – enheter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Enheter" för avdockning utan att logga in, installera utskriftsdrivrutiner och formatera/mata ut media. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – interaktiv inloggning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – interaktiv inloggning" för att visa efternamn och kräva ctrl-alt-del. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Client" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Microsoft Network Client" för Microsoft-nätverksklienten/servern och SMB v1. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Server" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – Microsoft Network Server för att inaktivera SMB v1-servern. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – nätverksåtkomst" för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – återställningskonsol" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – återställningskonsol för att tillåta diskettkopiering och åtkomst till alla enheter och mappar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – avstängning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – avstängning" för att tillåta avstängning utan inloggning och rensa den virtuella minnessidefilen. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – systemobjekt" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Systemobjekt" för skiftlägesokänslighet för icke-Windows-undersystem och behörigheter för interna systemobjekt. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Systeminställningar" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – Systeminställningar för certifikatregler för körbara filer för SRP och valfria undersystem. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Användarkontokontroll" för läge för administratörer, beteende för utökade privilegier och virtualisering av fil- och registerskrivningsfel. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhet Inställningar – Kontoprinciper" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhet Inställningar – Kontoprinciper" för lösenordshistorik, ålder, längd, komplexitet och lagring av lösenord med hjälp av reversibel kryptering. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – kontoinloggning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – kontoinloggning" för granskning av validering av autentiseringsuppgifter och andra kontoinloggningshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – kontohantering" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – Kontohantering" för granskning av program, säkerhet och hantering av användargrupper och andra hanteringshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – detaljerad spårning" för granskning av DPAPI, processskapande/avslutning, RPC-händelser och PNP-aktivitet. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för systemgranskningsprinciper – inloggning | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – inloggningsloggning" för granskning av IPSec, nätverksprincip, anspråk, kontoutelåsning, gruppmedlemskap och inloggnings-/utloggningshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – objektåtkomst" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – objektåtkomst" för granskning av fil, register, SAM, lagring, filtrering, kernel och andra systemtyper. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – principändring" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – principändring" för granskning av ändringar i systemgranskningsprinciper. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – Privilegierad användning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – Privilegierad användning" för granskning av meningslös och annan behörighetsanvändning. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för systemgranskningsprinciper – system | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – system" för granskning av IPsec-drivrutin, systemintegritet, systemtillägg, tillståndsändring och andra systemhändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Tilldelning av användarrättigheter" för att tillåta inloggning lokalt, RDP, åtkomst från nätverket och många andra användaraktiviteter. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Windows-komponenter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Windows-komponenter" för grundläggande autentisering, okrypterad trafik, Microsoft-konton, telemetri, Cortana och andra Windows-beteenden. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Windows-brandväggsegenskaper" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Windows-brandväggsegenskaper" för brandväggstillstånd, anslutningar, regelhantering och meddelanden. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör endast ha lokala konton som är tillåtna | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Den här definitionen stöds inte på Windows Server 2012 eller 2012 R2. Att hantera användarkonton med Hjälp av Azure Active Directory är en bra metod för hantering av identiteter. Genom att minska antalet lokala datorkonton kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är inkompatibla om det finns lokala användarkonton som är aktiverade och inte anges i principparametern. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör schemalägga Windows Defender för att utföra en schemalagd genomsökning varje dag | För att säkerställa snabb identifiering av skadlig kod och minimera dess inverkan på systemet rekommenderar vi att Windows-datorer med Windows Defender schemalägger en daglig genomsökning. Kontrollera att Windows Defender stöds, är förinstallerat på enheten och att förhandskraven för gästkonfiguration har distribuerats. Om dessa krav inte uppfylls kan det leda till felaktiga utvärderingsresultat. Läs mer om gästkonfiguration på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Windows-datorer bör använda standardservern för NTP | Konfigurera "time.windows.com" som standard NTP-server för alla Windows-datorer för att säkerställa att loggar i alla system har systemklockor som alla är synkroniserade. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.1.1 |
HDInsight
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure HDInsight-kluster ska matas in i ett virtuellt nätverk | När du matar in Azure HDInsight-kluster i ett virtuellt nätverk låser du upp avancerade HDInsight-nätverks- och säkerhetsfunktioner och ger dig kontroll över nätverkssäkerhetskonfigurationen. | Granska, inaktiverad, Neka | 1.0.0 |
| Azure HDInsight-kluster bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure HDInsight-kluster. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/hdi.cmk. | Granska, neka, inaktiverad | 1.0.1 |
| Azure HDInsight-kluster bör använda kryptering på värden för att kryptera vilande data | Genom att aktivera kryptering på värden kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När du aktiverar kryptering på värden krypteras data som lagras på den virtuella datorvärden i vila och flöden krypteras till lagringstjänsten. | Granska, neka, inaktiverad | 1.0.0 |
| Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder | Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under den här överföringen. | Granska, neka, inaktiverad | 1.0.0 |
| Azure HDInsight bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure HDInsight-kluster kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/hdi.pl. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure HDInsight-kluster för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure HDInsight-kluster. Läs mer på: https://aka.ms/hdi.pl. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure HDInsight-kluster med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure HDInsight-kluster kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/hdi.pl. | DeployIfNotExists, inaktiverad | 1.0.0 |
Health Bot
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Health-robotar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar (CMK) för att hantera krypteringen i resten av dina hälsorobotars data. Som standard krypteras data i vila med tjänsthanterade nycklar, men CMK krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK gör att data kan krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://docs.microsoft.com/azure/health-bot/cmk | Granskning, inaktiverad | 1.0.0 |
Arbetsyta för hälsodatatjänster
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Health Data Services-arbetsytan bör använda privat länk | Health Data Services-arbetsytan bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/healthcareapisprivatelink. | Granskning, inaktiverad | 1.0.0 |
API:er för hälso- och sjukvård
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| CORS bör inte tillåta att alla domäner får åtkomst till din FHIR-tjänst | Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din FHIR-tjänst. För att skydda din FHIR-tjänst tar du bort åtkomsten för alla domäner och definierar uttryckligen de domäner som tillåts att ansluta. | audit, Audit, disabled, Disabled | 1.1.0 |
| DICOM-tjänsten bör använda en kundhanterad nyckel för att kryptera vilande data | Använd en kundhanterad nyckel för att styra krypteringen i resten av de data som lagras i Azure Health Data Services DICOM-tjänsten när detta är ett regel- eller efterlevnadskrav. Kundhanterade nycklar levererar också dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardvärdet som görs med tjänsthanterade nycklar. | Granskning, inaktiverad | 1.0.0 |
| FHIR-tjänsten bör använda en kundhanterad nyckel för att kryptera vilande data | Använd en kundhanterad nyckel för att styra krypteringen i resten av de data som lagras i Azure Health Data Services FHIR-tjänsten när detta är ett regel- eller efterlevnadskrav. Kundhanterade nycklar levererar också dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardvärdet som görs med tjänsthanterade nycklar. | Granskning, inaktiverad | 1.0.0 |
Sakernas Internet
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure IoT Hub bör använda kundhanterad nyckel för att kryptera vilande data | Kryptering av vilande data i IoT Hub med kundhanterad nyckel lägger till ett andra krypteringslager ovanpå standardtjänsthanterade nycklar, möjliggör kundkontroll av nycklar, anpassade rotationsprinciper och möjlighet att hantera åtkomst till data via nyckelåtkomstkontroll. Kundhanterade nycklar måste konfigureras när IoT Hub skapas. Mer information om hur du konfigurerar kundhanterade nycklar finns i https://aka.ms/iotcmk. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: IoT Hub-enhetsetableringstjänstdata ska krypteras med hjälp av kundhanterade nycklar (CMK) | Använd kundhanterade nycklar för att hantera krypteringen i resten av IoT Hub-enhetsetableringstjänsten. Data krypteras automatiskt i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Läs mer om CMK-kryptering på https://aka.ms/dps/CMK. | Granska, neka, inaktiverad | 1.0.0-preview |
| Azure Device Update-konton bör använda kundhanterad nyckel för att kryptera vilande data | Kryptering av vilande data i Azure Device Update med kundhanterad nyckel lägger till ett andra krypteringslager ovanpå standardtjänsthanterade nycklar, möjliggör kundkontroll av nycklar, anpassade rotationsprinciper och möjlighet att hantera åtkomst till data via nyckelåtkomstkontroll. Läs mer på:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Device Update för IoT Hub-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Device Update för IoT Hub-konton minskas risken för dataläckage. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure IoT Hub ska ha lokala autentiseringsmetoder inaktiverade för Service Apis | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure IoT Hub uteslutande kräver Azure Active Directory-identiteter för Service Api-autentisering. Läs mer på: https://aka.ms/iothubdisablelocalauth. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Device Update för IoT Hub-konton för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att se till att enhetsuppdateringen för IoT Hub endast kan nås från en privat slutpunkt. Den här principen inaktiverar åtkomst till offentligt nätverk på Enhetsuppdatering för IoT Hub-resurser. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Device Update för IoT Hub-konton för att använda privata DNS-zoner | Azure Privat DNS tillhandahåller en tillförlitlig, säker DNS-tjänst för att hantera och matcha domännamn i ett virtuellt nätverk utan att behöva lägga till en anpassad DNS-lösning. Du kan använda privata DNS-zoner för att åsidosätta DNS-matchningen med hjälp av dina egna anpassade domännamn för en privat slutpunkt. Den här principen distribuerar en privat DNS-zon för enhetsuppdatering för privata IoT Hub-slutpunkter. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Device Update för IoT Hub-konton med privat slutpunkt | En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt virtuellt nätverk via vilket en Azure-resurs kan nås. Den här principen distribuerar en privat slutpunkt för din enhetsuppdatering för IoT-hubben så att tjänster i det virtuella nätverket kan nå den här resursen utan att trafik måste skickas till Enhetsuppdatering för IoT Hubs offentliga slutpunkt. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Azure IoT Hub för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att Azure IoT Hub uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/iothubdisablelocalauth. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera IoT Hub-enhetsetableringsinstanser för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till en IoT Hub-enhetsetableringstjänstinstans. Läs mer på: https://aka.ms/iotdpsvnet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera IoT Hub-enhetsetableringstjänstinstanser för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din IoT Hub-enhetsetableringsinstans så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/iotdpsvnet. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera IoT Hub-enhetsetableringstjänstinstanser med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera Azure IoT Hubs för att använda privata DNS-zoner | Azure Privat DNS tillhandahåller en tillförlitlig, säker DNS-tjänst för att hantera och matcha domännamn i ett virtuellt nätverk utan att behöva lägga till en anpassad DNS-lösning. Du kan använda privata DNS-zoner för att åsidosätta DNS-matchningen med hjälp av dina egna anpassade domännamn för en privat slutpunkt. Den här principen distribuerar en privat DNS-zon för privata IoT Hub-slutpunkter. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Distribuera – Konfigurera Azure IoT Hubs med privata slutpunkter | En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt virtuellt nätverk via vilket en Azure-resurs kan nås. Den här principen distribuerar en privat slutpunkt för din IoT-hubb så att tjänster i det virtuella nätverket kan nå IoT Hub utan att trafik måste skickas till IoT Hubs offentliga slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera IoT Central för att använda privata DNS-zoner | Azure Privat DNS tillhandahåller en tillförlitlig, säker DNS-tjänst för att hantera och matcha domännamn i ett virtuellt nätverk utan att behöva lägga till en anpassad DNS-lösning. Du kan använda privata DNS-zoner för att åsidosätta DNS-matchningen med hjälp av dina egna anpassade domännamn för en privat slutpunkt. Den här principen distribuerar en privat DNS-zon för privata IoT Central-slutpunkter. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera IoT Central med privata slutpunkter | En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt virtuellt nätverk via vilket en Azure-resurs kan nås. Den här principen distribuerar en privat slutpunkt för din IoT Central så att tjänster i det virtuella nätverket kan nå IoT Central utan att trafik måste skickas till IoT Centrals offentliga slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| IoT Central bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt IoT Central-program i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotcentral-network-security-using-pe. | Granska, neka, inaktiverad | 1.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att se till att IoT Hub-instansen av enhetsetableringstjänsten inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av IoT Hub-enhetsetableringsinstanserna. Läs mer på: https://aka.ms/iotdpsvnet. | Granska, neka, inaktiverad | 1.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| Ändra – Konfigurera Azure IoT Hubs för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure IoT Hub endast kan nås från en privat slutpunkt. Den här principen inaktiverar åtkomst till offentliga nätverk på IoT Hub-resurser. | Ändra, inaktiverad | 1.0.0 |
| Ändra – Konfigurera IoT Central för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att se till att din IoT Central endast kan nås från en privat slutpunkt. Den här principen inaktiverar åtkomst till offentliga nätverk på IoT Hub-resurser. | Ändra, inaktiverad | 1.0.0 |
| Privat slutpunkt ska vara aktiverad för IoT Hub | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till IoT Hub. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | Granskning, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk för Azure Device Update för IoT Hub-konton bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att dina Azure Device Update för IoT Hub-konton endast kan nås från en privat slutpunkt. | Granska, neka, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk på Azure IoT Hub bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure IoT Hub endast kan nås från en privat slutpunkt. | Granska, neka, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för IoT Central | För att förbättra säkerheten för IoT Central kontrollerar du att det inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera den offentliga nätverksåtkomstegenskapen enligt beskrivningen i https://aka.ms/iotcentral-restrict-public-access. Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervallet och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. | Granska, neka, inaktiverad | 1.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
Key Vault
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Key Vault Managed HSM-nycklar bör ha ett utgångsdatum | Om du vill använda den här principen i förhandsversionen måste du först följa de här anvisningarna på https://aka.ms/mhsmgovernance. Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Azure Key Vault Managed HSM-nycklar bör ha fler än det angivna antalet dagar innan de upphör att gälla | Om du vill använda den här principen i förhandsversionen måste du först följa de här anvisningarna på https://aka.ms/mhsmgovernance. Om en nyckel är för nära förfallodatum kan en organisationsfördröjning för att rotera nyckeln leda till ett avbrott. Nycklar ska roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. | Granska, neka, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Azure Key Vault Managed HSM-nycklar med hjälp av elliptisk kurvkryptografi bör ha de angivna kurvnamnen | Om du vill använda den här principen i förhandsversionen måste du först följa de här anvisningarna på https://aka.ms/mhsmgovernance. Nycklar som backas upp av elliptisk kurvkryptografi kan ha olika kurvnamn. Vissa program är endast kompatibla med specifika elliptiska kurvnycklar. Framtvinga de typer av elliptiska kurvnycklar som tillåts skapas i din miljö. | Granska, neka, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Azure Key Vault Managed HSM-nycklar med RSA-kryptografi bör ha en angiven minsta nyckelstorlek | Om du vill använda den här principen i förhandsversionen måste du först följa de här anvisningarna på https://aka.ms/mhsmgovernance. Ange den minsta tillåtna nyckelstorleken som ska användas med dina nyckelvalv. Användning av RSA-nycklar med små nyckelstorlekar är inte en säker metod och uppfyller inte många krav för branschcertifiering. | Granska, neka, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Azure Key Vault Managed HSM bör inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Hanterade HSM för Azure Key Vault så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Key Vault Managed HSM bör använda privat länk | Privat länk är ett sätt att ansluta Azure Key Vault Managed HSM till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger skydd på djupet mot dataexfiltrering. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Certifikat ska utfärdas av en av de angivna icke-integrerade certifikatutfärdarna | Hantera organisationens efterlevnadskrav genom att ange anpassade eller interna certifikatutfärdare som kan utfärda certifikat i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Key Vault Managed HSM för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Hanterade HSM för Azure Key Vault så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Ändra, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Key Vault Managed HSM med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Key Vault Managed HSM kan du minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| Azure Key Vault Managed HSM bör ha rensningsskydd aktiverat | Skadlig borttagning av en hanterad HSM i Azure Key Vault kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa Azure Key Vault Managed HSM. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuk borttagen Azure Key Vault Managed HSM. Ingen i din organisation eller Microsoft kommer att kunna rensa din Azure Key Vault Managed HSM under kvarhållningsperioden för mjuk borttagning. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Key Vault bör inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för ditt nyckelvalv så att det inte är tillgängligt via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/akvprivatelink. | Granska, neka, inaktiverad | 1.1.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Azure Key Vault bör använda RBAC-behörighetsmodellen | Aktivera RBAC-behörighetsmodell i Key Vaults. Läs mer på: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Granska, neka, inaktiverad | 1.0.1 |
| Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Certifikat ska utfärdas av den angivna integrerade certifikatutfärdare | Hantera organisationens efterlevnadskrav genom att ange de Azure-integrerade certifikatutfärdare som kan utfärda certifikat i nyckelvalvet, till exempel Digicert eller GlobalSign. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Certifikat ska utfärdas av den angivna icke-integrerade certifikatutfärdare | Hantera organisationens efterlevnadskrav genom att ange en anpassad eller intern certifikatutfärdare som kan utfärda certifikat i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Certifikaten ska ha de angivna utlösarna för livslängdsåtgärden | Hantera organisationens efterlevnadskrav genom att ange om en åtgärd för certifikatets livslängd utlöses i en viss procentandel av dess livslängd eller ett visst antal dagar innan den upphör att gälla. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Certifikaten ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Certifikat bör inte upphöra att gälla inom det angivna antalet dagar | Hantera certifikat som upphör att gälla inom ett angivet antal dagar för att säkerställa att din organisation har tillräckligt med tid för att rotera certifikatet innan det upphör att gälla. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Certifikat bör använda tillåtna nyckeltyper | Hantera organisationens efterlevnadskrav genom att begränsa de nyckeltyper som tillåts för certifikat. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Certifikat som använder elliptisk kurvkryptografi bör ha tillåtna kurvnamn | Hantera de tillåtna elliptiska kurvnamnen för ECC-certifikat som lagras i nyckelvalvet. Mer information finns på https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Certifikat som använder RSA-kryptografi bör ha den angivna minsta nyckelstorleken | Hantera organisationens efterlevnadskrav genom att ange en minsta nyckelstorlek för RSA-certifikat som lagras i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Konfigurera Azure Key Vaults för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till nyckelvalvet. Läs mer på: https://aka.ms/akvprivatelink. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Key Vaults med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera nyckelvalv för att aktivera brandvägg | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan sedan konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Ändra, inaktiverad | 1.1.1 |
| Distribuera – Konfigurera diagnostikinställningar för Azure Key Vault till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Azure Key Vault för att strömma resursloggar till en Log Analytics-arbetsyta när ett Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.1 |
| Distribuera – Konfigurera diagnostikinställningar för en händelsehubb som ska aktiveras på Azure Key Vault Managed HSM | Distribuerar diagnostikinställningarna för Azure Key Vault Managed HSM för att strömma till en regional händelsehubb när azure Key Vault Managed HSM som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera diagnostik Inställningar för Key Vault till Event Hub | Distribuerar diagnostikinställningarna för Key Vault för att strömma till en regional händelsehubb när ett Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 3.0.1 |
| Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
| Nycklar bör säkerhetskopieras av en maskinvarusäkerhetsmodul (HSM) | En HSM är en maskinvarusäkerhetsmodul som lagrar nycklar. En HSM ger ett fysiskt skydd för kryptografiska nycklar. Den kryptografiska nyckeln kan inte lämna en fysisk HSM som ger en högre säkerhetsnivå än en programvarunyckel. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar ska vara den angivna kryptografiska typen RSA eller EC | Vissa program kräver att nycklar som backas upp av en viss kryptografisk typ används. Framtvinga en viss typ av kryptografisk nyckel, RSA eller EC, i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar bör ha en rotationsprincip som säkerställer att rotationen schemaläggs inom det angivna antalet dagar efter att de har skapats. | Hantera organisationens efterlevnadskrav genom att ange det maximala antalet dagar efter att nyckeln har skapats tills den måste roteras. | Granskning, inaktiverad | 1.0.0 |
| Nycklar bör ha fler än det angivna antalet dagar innan de upphör att gälla | Om en nyckel är för nära förfallodatum kan en organisationsfördröjning för att rotera nyckeln leda till ett avbrott. Nycklar ska roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklarna ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tiden i dagar som en nyckel kan vara giltig i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar bör inte vara aktiva längre än det angivna antalet dagar | Ange hur många dagar en nyckel ska vara aktiv. Nycklar som används under en längre tidsperiod ökar sannolikheten för att en angripare kan kompromettera nyckeln. Som en bra säkerhetspraxis bör du se till att dina nycklar inte har varit aktiva längre än två år. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar som använder elliptisk kurvkryptografi ska ha de angivna kurvnamnen | Nycklar som backas upp av elliptisk kurvkryptografi kan ha olika kurvnamn. Vissa program är endast kompatibla med specifika elliptiska kurvnycklar. Framtvinga de typer av elliptiska kurvnycklar som tillåts skapas i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar som använder RSA-kryptografi bör ha en angiven minsta nyckelstorlek | Ange den minsta tillåtna nyckelstorleken som ska användas med dina nyckelvalv. Användning av RSA-nycklar med små nyckelstorlekar är inte en säker metod och uppfyller inte många krav för branschcertifiering. | Granska, neka, inaktiverad | 1.0.1 |
| Resursloggar i Azure Key Vault Managed HSM ska vara aktiverade | Om du vill återskapa aktivitetsloggar i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras kanske du vill granska genom att aktivera resursloggar på hanterade HSM:er. Följ anvisningarna här: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Hemligheter bör ha en uppsättning innehållstyper | En innehållstypstagg hjälper dig att identifiera om en hemlighet är ett lösenord, anslutningssträng osv. Olika hemligheter har olika rotationskrav. Taggen Innehållstyp ska anges för hemligheter. | Granska, neka, inaktiverad | 1.0.1 |
| Hemligheter bör ha mer än det angivna antalet dagar innan de upphör att gälla | Om en hemlighet är för nära förfallodatum kan en organisationsfördröjning för att rotera hemligheten leda till ett avbrott. Hemligheter bör roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. | Granska, neka, inaktiverad | 1.0.1 |
| Hemligheter bör ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tiden i dagar som en hemlighet kan vara giltig i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.1 |
| Hemligheter bör inte vara aktiva längre än det angivna antalet dagar | Om dina hemligheter har skapats med ett aktiveringsdatum som har angetts i framtiden måste du se till att dina hemligheter inte har varit aktiva längre än den angivna varaktigheten. | Granska, neka, inaktiverad | 1.0.1 |
Kubernetes
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: [Bildintegritet] Kubernetes-kluster bör endast använda avbildningar signerade av notation | Använd bilder signerade av notation för att se till att avbildningar kommer från betrodda källor och inte kommer att ändras på ett skadligt sätt. Mer information finns i https://aka.ms/aks/image-integrity | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Det går inte att redigera enskilda noder | Det går inte att redigera enskilda noder. Användare bör inte redigera enskilda noder. Redigera nodpooler. Att ändra enskilda noder kan leda till inkonsekventa inställningar, driftutmaningar och potentiella säkerhetsrisker. | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Konfigurera Azure Arc-aktiverade Kubernetes-kluster för att installera Microsoft Defender för molnet-tillägget | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, inaktiverad | 7.1.0-preview |
| [Förhandsversion]: Distribuera avbildningsintegritet i Azure Kubernetes Service | Distribuera azure Kubernetes-kluster för både avbildningsintegritet och principtillägg. Mer information finns i https://aka.ms/aks/image-integrity | DeployIfNotExists, inaktiverad | 1.0.5-förhandsversion |
| [Förhandsversion]: Kubernetes-klustercontaineravbildningar måste innehålla preStop-kroken | Kräver att containeravbildningar innehåller en preStop-krok för att korrekt avsluta processer under poddavstängningar. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Kubernetes-klustercontaineravbildningar bör inte innehålla den senaste avbildningstaggen | Kräver att containeravbildningar inte använder den senaste taggen i Kubernetes. Det är ett bra sätt att säkerställa reproducerbarhet, förhindra oavsiktliga uppdateringar och underlätta enklare felsökning och återställningar med hjälp av explicita och versionsbaserade containeravbildningar. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Kubernetes-klustercontainrar bör endast hämta avbildningar när avbildningshämtningshemligheter finns | Begränsa containrars avbildningshämtningar för att framtvinga förekomsten av ImagePullSecrets, vilket säkerställer säker och auktoriserad åtkomst till bilder i ett Kubernetes-kluster | Granska, neka, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Kubernetes-klustertjänster bör använda unika väljare | Se till att tjänster i ett namnområde har unika väljare. En unik tjänstväljare ser till att varje tjänst i ett namnområde är unikt identifierbar baserat på specifika kriterier. Den här principen synkroniserar inkommande resurser till OPA via Gatekeeper. Kontrollera att minneskapaciteten för Gatekeeper-poddar inte överskrids innan du tillämpar den. Parametrar gäller för specifika namnområden, men alla resurser av den typen synkroniseras över alla namnområden. För närvarande i förhandsversion för Kubernetes Service (AKS). | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Kubernetes-klustret bör implementera korrekta poddavbrottsbudgetar | Förhindrar felaktiga poddstörningar, vilket säkerställer ett minsta antal driftspoddar. Mer information finns i den officiella Kubernetes-dokumentationen. Förlitar sig på Gatekeeper-datareplikering och synkroniserar alla ingressresurser som är begränsade till den till OPA. Innan du tillämpar den här principen kontrollerar du att de synkroniserade ingressresurserna inte belastar din minneskapacitet. Även om parametrar utvärderar specifika namnområden synkroniseras alla resurser av den typen mellan namnområden. Obs! För närvarande i förhandsversion för Kubernetes Service (AKS). | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Kubernetes-kluster bör begränsa skapandet av en viss resurstyp | Angiven Kubernetes-resurstyp bör inte distribueras i ett visst namnområde. | Granska, neka, inaktiverad | 2.2.0-preview |
| [Förhandsversion]: Måste ha regler för antitillhörighet angivna | Den här principen säkerställer att poddar schemaläggs på olika noder i klustret. Genom att tillämpa regler mot tillhörighet bibehålls tillgängligheten även om en av noderna blir otillgänglig. Poddar fortsätter att köras på andra noder, vilket ökar motståndskraften. | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Inga AKS-specifika etiketter | Hindrar kunder från att använda AKS-specifika etiketter. AKS använder etiketter som prefixats med kubernetes.azure.com för att ange AKS-ägda komponenter. Kunden bör inte använda dessa etiketter. |
Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Taints för reserverad systempool | Begränsar CriticalAddonsOnly taint till bara systempoolen. AKS använder CriticalAddonsOnly taint för att hålla kundpoddar borta från systempoolen. Det säkerställer en tydlig separation mellan AKS-komponenter och kundpoddar, samt förhindrar att kundpoddar avlägsnas om de inte tolererar CriticalAddonsOnly-borttagningen. | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Begränsar CriticalAddonsOnly taint till bara systempoolen. | För att undvika borttagning av användarappar från användarpooler och upprätthålla separation av problem mellan användar- och systempooler bör tainten "CriticalAddonsOnly" inte tillämpas på användarpooler. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger CPU-gränser för Kubernetes-klustercontainrar till standardvärden om de inte finns eller överskrider gränserna. | Ställa in cpu-gränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger minnesgränser för Kubernetes-klustercontainrar till standardvärden om de inte finns eller överskrider gränserna. | Ställa in gränser för containerminne för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Ställer in maxUnavailable poddar till 1 för PodDisruptionBudget-resurser | Om du anger maximalt otillgängligt poddvärde till 1 ser du till att programmet eller tjänsten är tillgänglig under ett avbrott | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger readOnlyRootFileSystem i poddspecifikationen i init-containrar till true om den inte har angetts. | Om readOnlyRootFileSystem anges till true ökar säkerheten genom att containrar inte skrivs in i rotfilsystemet. Detta fungerar endast för Linux-containrar. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger readOnlyRootFileSystem i poddspecifikationen till sant om det inte har angetts. | Om readOnlyRootFileSystem anges till true ökar säkerheten genom att containrar inte skrivs in i rotfilsystemet | Mutate, Disabled | 1.1.0-förhandsversion |
| Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat | Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Azure Arc-aktiverade Kubernetes-kluster bör ha Open Service Mesh-tillägget installerat | Open Service Mesh-tillägget innehåller alla standardfunktioner för servicenät för säkerhet, trafikhantering och observerbarhet för programtjänster. Läs mer här: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Azure Arc-aktiverade Kubernetes-kluster bör ha Strimzi Kafka-tillägget installerat | Strimzi Kafka-tillägget ger operatörerna möjlighet att installera Kafka för att skapa realtidsdatapipelines och strömmande program med säkerhets- och observerbarhetsfunktioner. Läs mer här: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Azure Kubernetes-kluster ska aktivera CSI (Container Storage Interface) | Container Storage Interface (CSI) är en standard för att exponera godtyckliga block- och fillagringssystem för containerbaserade arbetsbelastningar i Azure Kubernetes Service. Mer information finns i https://aka.ms/aks-csi-driver | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-kluster ska aktivera nyckelhanteringstjänst (KMS) (KMS) | Använd nyckelhanteringstjänst (KMS) (KMS) för att kryptera hemliga data i vila i etcd för Kubernetes-klustersäkerhet. Läs mer på: https://aka.ms/aks/kmsetcdencryption. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-kluster bör använda Azure CNI | Azure CNI är en förutsättning för vissa Azure Kubernetes Service-funktioner, inklusive Azure-nätverksprinciper, Windows-nodpooler och tillägg för virtuella noder. Läs mer på: https://aka.ms/aks-azure-cni | Granskning, inaktiverad | 1.0.1 |
| Azure Kubernetes-tjänstkluster bör inaktivera kommandoanrop | Om du inaktiverar kommandot anropa kan du förbättra säkerheten genom att undvika förbikoppling av begränsad nätverksåtkomst eller rollbaserad Åtkomstkontroll i Kubernetes | Granskning, inaktiverad | 1.0.1 |
| Azure Kubernetes-tjänstkluster bör aktivera automatisk uppgradering av kluster | Automatisk uppgradering av AKS-kluster kan säkerställa att dina kluster är uppdaterade och inte missar de senaste funktionerna eller korrigeringarna från AKS och uppströms Kubernetes. Läs mer på: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-tjänstkluster bör aktivera Image Cleaner | Image Cleaner utför automatisk sårbar, oanvänd bildidentifiering och borttagning, vilket minskar risken för inaktuella bilder och minskar den tid som krävs för att rensa upp dem. Läs mer på: https://aka.ms/aks/image-cleaner. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-tjänstkluster bör aktivera Integrering av Microsoft Entra-ID | AKS-hanterad Microsoft Entra-ID-integrering kan hantera åtkomsten till klustren genom att konfigurera Rollbaserad åtkomstkontroll för Kubernetes (Kubernetes RBAC) baserat på en användares identitets- eller kataloggruppsmedlemskap. Läs mer på: https://aka.ms/aks-managed-aad. | Granskning, inaktiverad | 1.0.2 |
| Azure Kubernetes-tjänstkluster bör aktivera automatisk uppgradering av nodoperativsystem | Automatisk uppgradering av AKS-nodoperativsystem styr säkerhetsuppdateringar på nodnivå. Läs mer på: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-tjänstkluster bör aktivera arbetsbelastningsidentitet | Med arbetsbelastningsidentiteten kan du tilldela en unik identitet till varje Kubernetes-podd och associera den med Azure AD-skyddade resurser, till exempel Azure Key Vault, vilket ger säker åtkomst till dessa resurser från podden. Läs mer på: https://aka.ms/aks/wi. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Granskning, inaktiverad | 2.0.1 |
| Azure Kubernetes-tjänstkluster bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Kubernetes Service Clusters uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aks-disable-local-accounts. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Kubernetes-tjänstkluster bör använda hanterade identiteter | Använd hanterade identiteter för att omsluta tjänstens huvudnamn, förenkla klusterhanteringen och undvika den komplexitet som krävs för hanterade tjänstens huvudnamn. Läs mer på: https://aka.ms/aks-update-managed-identities | Granskning, inaktiverad | 1.0.1 |
| Privata Azure Kubernetes Service-kluster ska vara aktiverade | Aktivera funktionen för privata kluster för ditt Azure Kubernetes Service-kluster för att säkerställa att nätverkstrafiken mellan API-servern och nodpoolerna endast finns kvar i det privata nätverket. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. | Granskning, inaktiverad | 1.0.2 |
| Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Konfigurera Azure Arc-aktiverade Kubernetes-kluster för att installera Azure Policy-tillägget | Distribuera Azure Policy-tillägget för Azure Arc för att tillhandahålla skalbara tillämpningsåtgärder och skydda dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Azure Kubernetes Service-kluster för att aktivera Defender-profil | Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.Defender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, inaktiverad | 4.1.0 |
| Konfigurera installation av Flux-tillägget i Kubernetes-kluster | Installera Flux-tillägget i Kubernetes-klustret för att aktivera distribution av "fluxkonfigurationer" i klustret | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med bucketkälla och hemligheter i KeyVault | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade bucketen. Den här definitionen kräver en Bucket SecretKey som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med Git-lagringsplats och HTTPS CA-certifikat | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver ett HTTPS CA-certifikat. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och HTTPS-hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver en HTTPS-nyckelhemlighet som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och lokala hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver lokala autentiseringshemligheter som lagras i Kubernetes-klustret. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och SSH-hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver en privat SSH-nyckelhemlighet som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av en offentlig Git-lagringsplats | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver inga hemligheter. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med angiven Flux v2 Bucket-källa med hjälp av lokala hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade bucketen. Den här definitionen kräver lokala autentiseringshemligheter som lagras i Kubernetes-klustret. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av HTTPS-hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver HTTPS-användar- och nyckelhemligheter som lagras i Key Vault. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration utan hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver inga hemligheter. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av SSH-hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver en privat SSH-nyckelhemlighet i Key Vault. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Microsoft Entra-ID:t integrerade Azure Kubernetes-tjänstkluster med nödvändig administratörsgruppåtkomst | Se till att förbättra klustersäkerheten genom att centralt styra administratörsåtkomsten till Microsoft Entra ID-integrerade AKS-kluster. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Konfigurera automatisk uppgradering av Node OS på Azure Kubernetes-kluster | Använd automatisk uppgradering av Node OS för att styra säkerhetsuppdateringar på nodnivå för AKS-kluster (Azure Kubernetes Service). Mer information finns i https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Distribuera – Konfigurera diagnostikinställningar för Azure Kubernetes Service till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Azure Kubernetes Service för att strömma resursloggar till en Log Analytics-arbetsyta. | DeployIfNotExists, inaktiverad | 3.0.0 |
| Distribuera Azure Policy-tillägg till Azure Kubernetes Service-kluster | Använd Azure Policy-tillägget för att hantera och rapportera om efterlevnadstillståndet för dina AKS-kluster (Azure Kubernetes Service). Mer information finns i https://aka.ms/akspolicydoc. | DeployIfNotExists, inaktiverad | 4.1.0 |
| Distribuera Image Cleaner på Azure Kubernetes Service | Distribuera Image Cleaner i Azure Kubernetes-kluster. Mer information finns i https://aka.ms/aks/image-cleaner | DeployIfNotExists, inaktiverad | 1.0.4 |
| Distribuera planerat underhåll för att schemalägga och kontrollera uppgraderingar för ditt AKS-kluster (Azure Kubernetes Service) | Med planerat underhåll kan du schemalägga veckovisa underhållsperioder för att utföra uppdateringar och minimera påverkan på arbetsbelastningen. När det är schemalagt sker uppgraderingar endast under det fönster som du har valt. Läs mer på: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Inaktivera Kommandot anropa i Azure Kubernetes Service-kluster | Om du inaktiverar kommandot anropa kan säkerheten förbättras genom att anropa-kommandoåtkomst till klustret avvisas | DeployIfNotExists, inaktiverad | 1.2.0 |
| Se till att klustercontainrar har konfigurerat beredskaps- eller liveness-avsökningar | Den här principen framtvingar att alla poddar har konfigurerat beredskaps- och/eller liveness-avsökningar. Avsökningstyper kan vara tcpSocket, httpGet och exec. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Anvisningar om hur du använder den här principen finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 3.2.0 |
| Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-klustercontainrar bör inte använda förbjudna sysctl-gränssnitt | Containrar bör inte använda förbjudna sysctl-gränssnitt i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna ProcMountType | Podcontainrar kan bara använda tillåtna ProcMountTypes i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåten pull-princip | Begränsa containrarnas pull-princip för att framtvinga att containrar endast använder tillåtna avbildningar i distributioner | Granska, neka, inaktiverad | 3.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna seccomp-profiler | Podcontainrar kan bara använda tillåtna seccomp-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klusterpoddens FlexVolume-volymer bör endast använda tillåtna drivrutiner | Pod FlexVolume-volymer bör endast använda tillåtna drivrutiner i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klusterpoddar och containrar bör endast använda tillåtna SELinux-alternativ | Poddar och containrar bör endast använda tillåtna SELinux-alternativ i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klusterpoddar bör endast använda tillåtna volymtyper | Poddar kan bara använda tillåtna volymtyper i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Kubernetes-klusterpoddar bör använda angivna etiketter | Använd angivna etiketter för att identifiera poddarna i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-klustertjänster bör endast använda tillåtna externa IP-adresser | Använd tillåtna externa IP-adresser för att undvika den potentiella attacken (CVE-2020-8554) i ett Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Kubernetes-kluster ska inte använda nakna poddar | Blockera användning av nakna poddar. Nakna poddar kommer inte att schemaläggas om i händelse av ett nodfel. Poddar ska hanteras av Distribution, Replicset, Daemonset eller Jobb | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster Windows-containrar bör inte överbekräja processor och minne | Resursbegäranden för Windows-containrar ska vara mindre eller lika med resursgränsen eller ospecificerade för att undvika övertagande. Om Windows-minnet är överetablerad bearbetas sidor i disken – vilket kan göra prestandan långsammare – i stället för att avsluta containern med slut på minne | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster Windows-containrar ska inte köras som ContainerAdministrator | Förhindra användning av ContainerAdministrator som användare för att köra containerprocesserna för Windows-poddar eller -containrar. Den här rekommendationen är avsedd att förbättra säkerheten för Windows-noder. Mer information finns i https://kubernetes.io/docs/concepts/windows/intro/ . | Granska, neka, inaktiverad | 1.1.0 |
| Kubernetes-kluster Windows-containrar bör endast köras med godkänd användar- och domänanvändargrupp | Kontrollera den användare som Windows-poddar och containrar kan använda för att köra i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper på Windows-noder som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Kubernetes-kluster bör se till att klusteradministratörsrollen endast används där det behövs | Rollen "klusteradministratör" ger omfattande befogenheter över miljön och bör endast användas där och när det behövs. | Granskning, inaktiverad | 1.0.0 |
| Kubernetes-kluster bör minimera användningen av jokertecken i roll- och klusterrollen | Att använda jokertecken *kan vara en säkerhetsrisk eftersom det ger breda behörigheter som kanske inte är nödvändiga för en viss roll. Om en roll har för många behörigheter kan den eventuellt missbrukas av en angripare eller komprometterad användare för att få obehörig åtkomst till resurser i klustret. | Granskning, inaktiverad | 1.0.0 |
| Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-kluster bör inte tillåta behörigheter för slutpunktsredigering för ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit bör inte tillåta behörigheter för slutpunktsredigering på grund av CVE-2021-25740, Endpoint & EndpointSlice-behörigheter tillåter vidarebefordran mellan namnområden, https://github.com/kubernetes/kubernetes/issues/103675. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granskning, inaktiverad | 3.1.0 |
| Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte använda specifika säkerhetsfunktioner | Förhindra specifika säkerhetsfunktioner i Kubernetes-kluster för att förhindra oanvänd behörighet på poddresursen. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte använda standardnamnområdet | Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Kubernetes-kluster bör använda CSI-drivrutinen (Container Storage Interface) StorageClass | Container Storage Interface (CSI) är en standard för att exponera godtyckliga block- och fillagringssystem för containerbaserade arbetsbelastningar på Kubernetes. In-tree provisioner StorageClass bör vara inaktuell sedan AKS version 1.21. Mer information finns i https://aka.ms/aks-csi-driver | Granska, neka, inaktiverad | 2.2.0 |
| Kubernetes-kluster bör använda interna lastbalanserare | Använd interna lastbalanserare för att göra en Kubernetes-tjänst endast tillgänglig för program som körs i samma virtuella nätverk som Kubernetes-klustret. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-resurser ska ha nödvändiga anteckningar | Se till att nödvändiga anteckningar är kopplade till en viss Kubernetes-resurstyp för förbättrad resurshantering av dina Kubernetes-resurser. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 3.1.0 |
| Resursloggar i Azure Kubernetes Service ska vara aktiverade | Azure Kubernetes Service-resursloggar kan hjälpa till att återskapa aktivitetsspår när du undersöker säkerhetsincidenter. Aktivera den för att se till att loggarna finns när det behövs | AuditIfNotExists, inaktiverad | 1.0.0 |
| Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
Labbuppgiftstjänster
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lab Services bör aktivera alla alternativ för automatisk avstängning | Den här principen hjälper till med kostnadshantering genom att framtvinga att alla automatiska avstängningsalternativ är aktiverade för ett labb. | Granska, neka, inaktiverad | 1.1.0 |
| Lab Services bör inte tillåta virtuella malldatorer för labb | Den här principen förhindrar skapande och anpassning av virtuella malldatorer för labb som hanteras via Lab Services. | Granska, neka, inaktiverad | 1.1.0 |
| Lab Services bör kräva icke-administratörsanvändare för labb | Den här principen kräver att icke-administratörsanvändarkonton skapas för de labb som hanteras via labbtjänster. | Granska, neka, inaktiverad | 1.1.0 |
| Lab Services bör begränsa tillåtna SKU-storlekar för virtuella datorer | Med den här principen kan du begränsa vissa SKU:er för beräknings-VM för labb som hanteras via Lab Services. Detta begränsar vissa storlekar på virtuella datorer. | Granska, neka, inaktiverad | 1.1.0 |
Lighthouse
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillåt att hantering av klient-ID:n registreras via Azure Lighthouse | Att begränsa Azure Lighthouse-delegeringar till specifika hanteringsklienter ökar säkerheten genom att begränsa dem som kan hantera dina Azure-resurser. | avvisa | 1.0.1 |
| Granska delegering av omfång till en hanterande klientorganisation | Granska delegering av omfång till en hanterande klient via Azure Lighthouse. | Granskning, inaktiverad | 1.0.0 |
Logic Apps
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Logic Apps Integration Service Environment ska krypteras med kundhanterade nycklar | Distribuera till Integration Service Environment för att hantera kryptering i resten av Logic Apps-data med hjälp av kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | Granska, neka, inaktiverad | 1.0.0 |
| Logic Apps bör distribueras till integrationstjänstmiljön | När du distribuerar Logic Apps till integrationstjänstmiljön i ett virtuellt nätverk låser du upp avancerade Logic Apps-nätverks- och säkerhetsfunktioner och ger dig större kontroll över nätverkskonfigurationen. Läs mer på: https://aka.ms/integration-service-environment. Distribution till Integration Service Environment möjliggör även kryptering med kundhanterade nycklar som ger förbättrat dataskydd genom att du kan hantera dina krypteringsnycklar. Detta är ofta för att uppfylla efterlevnadskraven. | Granska, neka, inaktiverad | 1.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
Machine Learning
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Distributioner av Azure Machine Learning Model Registry är begränsade förutom det tillåtna registret | Distribuera endast registermodeller i det tillåtna registret och som inte är begränsade. | Neka, inaktiverad | 1.0.0-preview |
| Azure Machine Learning Compute Instance bör ha inaktiv avstängning. | Ett schema för inaktiv avstängning minskar kostnaderna genom att stänga av beräkningar som är inaktiva efter en fördefinierad aktivitetsperiod. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Machine Learning-beräkningsinstanser bör återskapas för att få de senaste programuppdateringarna | Se till att Azure Machine Learning-beräkningsinstanser körs på det senaste tillgängliga operativsystemet. Säkerheten förbättras och säkerhetsrisker minskas genom att köras med de senaste säkerhetskorrigeringarna. Mer information finns på https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Computes ska finnas i ett virtuellt nätverk | Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Machine Learning Compute-kluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket. | Granskning, inaktiverad | 1.0.1 |
| Azure Machine Learning Computes bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att maskininlärningsberäkning kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.0.3 |
| Azure Machine Learning-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att maskininlärningsarbetsytorna inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Granska, neka, inaktiverad | 2.0.1 |
| Azure Machine Learning-arbetsytor bör aktivera V1LegacyMode för att stödja bakåtkompatibilitet för nätverksisolering | Azure ML gör en övergång till en ny V2 API-plattform i Azure Resource Manager och du kan styra API-plattformsversionen med hjälp av parametern V1LegacyMode. Om du aktiverar parametern V1LegacyMode kan du behålla dina arbetsytor i samma nätverksisolering som V1, även om du inte kommer att använda de nya V2-funktionerna. Vi rekommenderar att du aktiverar V1 Äldre läge endast när du vill behålla AzureML-kontrollplansdata i dina privata nätverk. Läs mer på: https://aka.ms/V1LegacyMode. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Machine Learning-arbetsytor bör använda användartilldelad hanterad identitet | Manange-åtkomst till Azure ML-arbetsyta och associerade resurser, Azure Container Registry, KeyVault, Storage och App Insights med hjälp av användartilldelad hanterad identitet. Som standard används systemtilldelad hanterad identitet av Azure ML-arbetsytan för att få åtkomst till de associerade resurserna. Med användartilldelad hanterad identitet kan du skapa identiteten som en Azure-resurs och underhålla identitetens livscykel. Läs mer på https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Machine Learning Computes för att inaktivera lokala autentiseringsmetoder | Inaktivera metoder för platsautentisering så att dina Machine Learning Computes kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy. | Ändra, inaktiverad | 2.1.0 |
| Konfigurera Azure Machine Learning-arbetsytan så att den använder privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Machine Learning-arbetsytor. Läs mer på: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Azure Machine Learning-arbetsytor för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Azure Machine Learning-arbetsytor så att dina arbetsytor inte är tillgängliga via det offentliga Internet. Detta hjälper till att skydda arbetsytorna mot dataläckagerisker. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Ändra, inaktiverad | 1.0.3 |
| Konfigurera Azure Machine Learning-arbetsytor med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till din Azure Machine Learning-arbetsyta kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera diagnostikinställningar för Azure Machine Learning-arbetsytor till Log Analytics-arbetsyta | Distribuerar diagnostikinställningarna för Azure Machine Learning-arbetsytor för att strömma resursloggar till en Log Analytics-arbetsyta när en Azure Machine Learning-arbetsyta som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Resursloggar i Azure Machine Learning-arbetsytor ska vara aktiverade | Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras. | AuditIfNotExists, inaktiverad | 1.0.1 |
Hanterat program
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Programdefinition för hanterat program ska använda ett lagringskonto som tillhandahålls av kunden | Använd ditt eget lagringskonto för att styra programdefinitionsdata när detta är ett regel- eller efterlevnadskrav. Du kan välja att lagra definitionen för ditt hanterade program i ett lagringskonto som du angav när du skapade det, så att dess plats och åtkomst kan hanteras fullständigt av dig för att uppfylla kraven på regelefterlevnad. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Distribuera associationer för ett hanterat program | Distribuerar en associationsresurs som associerar valda resurstyper med det angivna hanterade programmet. Den här principdistributionen stöder inte kapslade resurstyper. | deployIfNotExists | 1.0.0 |
Hanterad Grafana
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Managed Grafana bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Managed Grafana kan du minska risken för dataläckage. | Granskning, inaktiverad | 1.0.0 |
| Azure Managed Grafana-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Managed Grafana-arbetsyta inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina arbetsytor. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Managed Grafana-instrumentpaneler med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Managed Grafana kan du minska risken för dataläckage. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Managed Grafana-arbetsytor för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Azure Managed Grafana-arbetsyta så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Managed Grafana-arbetsytor för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Managed Grafana-arbetsytor. | DeployIfNotExists, inaktiverad | 1.0.0 |
Hanterad identitet
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Federerade autentiseringsuppgifter för hanterad identitet från Azure Kubernetes bör komma från betrodda källor | Den här principen begränsar federering med Azure Kubernetes-kluster till endast kluster från godkända klienter, godkända regioner och en specifik undantagslista över ytterligare kluster. | Granska, inaktiverad, Neka | 1.0.0-preview |
| [Förhandsversion]: Federerade autentiseringsuppgifter för hanterad identitet från GitHub ska komma från betrodda lagringsplatsägare | Den här principen begränsar federation med GitHub-lagringsplatser till endast godkända lagringsplatsägare. | Granska, inaktiverad, Neka | 1.0.1-förhandsversion |
| [Förhandsversion]: Federerade autentiseringsuppgifter för hanterad identitet ska komma från tillåtna utfärdartyper | Den här principen begränsar om hanterade identiteter kan använda federerade autentiseringsuppgifter, vilka vanliga utfärdartyper som tillåts och innehåller en lista över tillåtna undantag för utfärdare. | Granska, inaktiverad, Neka | 1.0.0-preview |
| [Förhandsversion]: Tilldela inbyggd användartilldelad hanterad identitet till VM-skalningsuppsättningar | Skapa och tilldela en inbyggd användartilldelad hanterad identitet eller tilldela en i förväg skapad användartilldelad hanterad identitet i stor skala till vm-skalningsuppsättningar. Mer detaljerad dokumentation finns i aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.6-förhandsversion |
| [Förhandsversion]: Tilldela inbyggd användartilldelad hanterad identitet till virtuella datorer | Skapa och tilldela en inbyggd användartilldelad hanterad identitet eller tilldela en i förväg skapad användartilldelad hanterad identitet i stor skala till virtuella datorer. Mer detaljerad dokumentation finns i aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.6-förhandsversion |
Maps
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| CORS bör inte tillåta att alla resurser får åtkomst till ditt kartkonto. | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till ditt kartkonto. Tillåt endast att nödvändiga domäner interagerar med ditt kartkonto. | Inaktiverad, Granska, Neka | 1.0.0 |
Media Services
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Media Services-konton bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk förbättras säkerheten genom att Media Services-resurser inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av Media Services-resurser. Läs mer på: https://aka.ms/mediaservicesprivatelinkdocs. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Media Services-konton bör använda ett API som stöder Private Link | Media Services-konton ska skapas med ett API som stöder privat länk. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Media Services-konton som tillåter åtkomst till det äldre v2-API:et bör blockeras | Media Services äldre v2 API tillåter begäranden som inte kan hanteras med Hjälp av Azure Policy. Media Services-resurser som skapats med hjälp av API:et 2020-05-01 eller senare blockerar åtkomsten till det äldre v2-API:et. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Media Services innehållsnyckelprinciper bör använda tokenautentisering | Innehållsnyckelprinciper definierar de villkor som måste uppfyllas för åtkomst till innehållsnycklar. En tokenbegränsning säkerställer att innehållsnycklar endast kan nås av användare som har giltiga token från en autentiseringstjänst, till exempel Microsoft Entra-ID. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Media Services-jobb med HTTPS-indata bör begränsa indata-URI:er till tillåtna URI-mönster | Begränsa HTTPS-indata som används av Media Services-jobb till kända slutpunkter. Indata från HTTPS-slutpunkter kan inaktiveras helt genom att ange en tom lista över tillåtna jobbindatamönster. Där jobbindata anger en "baseUri" matchas mönstren mot det här värdet. när "baseUri" inte har angetts matchas mönstret mot egenskapen "files". | Neka, inaktiverad | 1.0.1 |
| Azure Media Services bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Media Services-konton. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/mediaservicescmkdocs. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Media Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Media Services kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Media Services för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Media Services-kontot. Läs mer på: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Media Services med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Media Services kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, inaktiverad | 1.0.0 |
Migrera
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera Azure Migrate-resurser för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till ditt Azure Migrate-projekt. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 1.0.0 |
Mobilt nätverk
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera diagnostikåtkomst för Packet Core Control Plane för att använda autentiseringstypen Microsoft EntraID | Authenticaton-typen måste vara Microsoft EntraID för paketkärndiagnostikåtkomst via lokala API:er | Ändra, inaktiverad | 1.0.0 |
| Diagnostikåtkomst för Packet Core Control Plane bör endast använda Microsoft EntraID-autentiseringstyp | Authenticaton-typen måste vara Microsoft EntraID för paketkärndiagnostikåtkomst via lokala API:er | Granska, neka, inaktiverad | 1.0.0 |
| SIM-gruppen bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av SIM-hemligheterna i en SIM-grupp. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder och de gör att data kan krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | Granska, neka, inaktiverad | 1.0.0 |
Övervakning
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Konfigurera Azure Arc-aktiverade Linux-datorer med Log Analytics-agenter som är anslutna till standardarbetsytan i Log Analytics | Skydda dina Azure Arc-aktiverade Linux-datorer med Microsoft Defender för molnet funktioner genom att installera Log Analytics-agenter som skickar data till en Standard Log Analytics-arbetsyta som skapats av Microsoft Defender för molnet. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Arc-aktiverade Windows-datorer med Log Analytics-agenter som är anslutna till standardarbetsytan i Log Analytics | Skydda dina Azure Arc-aktiverade Windows-datorer med Microsoft Defender för molnet funktioner genom att installera Log Analytics-agenter som skickar data till en Standard Log Analytics-arbetsyta som skapats av Microsoft Defender för molnet. | DeployIfNotExists, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Konfigurera systemtilldelad hanterad identitet för att aktivera Azure Monitor-tilldelningar på virtuella datorer | Konfigurera systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av Azure Monitor och som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla Azure Monitor-tilldelningar och måste läggas till på datorer innan du använder något Azure Monitor-tillägg. Virtuella måldatorer måste finnas på en plats som stöds. | Ändra, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer | Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer | Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| Aktivitetsloggen ska behållas i minst ett år | Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Application Insights-komponenter bör blockera logginmatning och frågor från offentliga nätverk | Förbättra Application Insights-säkerheten genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar för den här komponenten. Läs mer på https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Application Insights-komponenter bör blockera icke-Azure Active Directory-baserad inmatning. | Om du framtvingar logginmatning för att kräva Azure Active Directory-autentisering förhindras oautentiserade loggar från en angripare, vilket kan leda till felaktig status, falska aviseringar och felaktiga loggar som lagras i systemet. | Neka, Granska, Inaktiverad | 1.0.0 |
| Application Insights-komponenter med Private Link aktiverat bör använda Bring Your Own Storage-konton för profilerare och felsökningsprogram. | Om du vill ha stöd för principer för privat länk och kundhanterad nyckel skapar du ett eget lagringskonto för profilerare och felsökningsprogram. Läs mer i https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Neka, Granska, Inaktiverad | 1.0.0 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Azure Application Gateway bör ha resursloggar aktiverade | Aktivera resursloggar för Azure Application Gateway (plus WAF) och strömma till en Log Analytics-arbetsyta. Få detaljerad insyn i inkommande webbtrafik och åtgärder som vidtas för att minimera attacker. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Front Door bör ha resursloggar aktiverade | Aktivera resursloggar för Azure Front Door (plus WAF) och strömma till en Log Analytics-arbetsyta. Få detaljerad insyn i inkommande webbtrafik och åtgärder som vidtas för att minimera attacker. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Front Door Standard eller Premium (Plus WAF) bör ha resursloggar aktiverade | Aktivera resursloggar för Azure Front Door Standard eller Premium (plus WAF) och strömma till en Log Analytics-arbetsyta. Få detaljerad insyn i inkommande webbtrafik och åtgärder som vidtas för att minimera attacker. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Log Search-aviseringar via Log Analytics-arbetsytor bör använda kundhanterade nycklar | Se till att Azure Log Search-aviseringar implementerar kundhanterade nycklar genom att lagra frågetexten med det lagringskonto som kunden hade angett för den efterfrågade Log Analytics-arbetsytan. Mer information finns på https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Granska, inaktiverad, Neka | 1.0.0 |
| Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" | Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor Logs-kluster ska skapas med infrastrukturkryptering aktiverat (dubbel kryptering) | Använd ett dedikeradt Azure Monitor-kluster för att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar. Det här alternativet är aktiverat som standard när det stöds i regionen. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Monitor-loggkluster ska krypteras med kundhanterad nyckel | Skapa Azure Monitor-loggkluster med kundhanterad nyckelkryptering. Loggdata krypteras som standard med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kundhanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Monitor-loggar för Application Insights bör länkas till en Log Analytics-arbetsyta | Länka Application Insights-komponenten till en Log Analytics-arbetsyta för loggkryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina data i Azure Monitor. Om du länkar din komponent till en Log Analytics-arbetsyta som är aktiverad med en kundhanterad nyckel ser du till att Application Insights-loggarna uppfyller detta efterlevnadskrav, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Monitor Private Link-omfång bör blockera åtkomst till icke-privata länkresurser | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-resurser via en privat slutpunkt till ett Azure Monitor Private Link-omfång (AMPLS). Åtkomstlägen för private link är inställda på AMPLS för att styra om inmatning och frågebegäranden från dina nätverk kan nå alla resurser eller endast Private Link-resurser (för att förhindra dataexfiltrering). Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Monitor Private Link-omfång bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Monitor Private Links-omfånget kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Monitor-lösningen "Säkerhet och granskning" måste distribueras | Den här principen säkerställer att säkerhet och granskning distribueras. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure-aktivitetsloggar för att strömma till en angiven Log Analytics-arbetsyta | Distribuerar diagnostikinställningarna för Azure-aktivitet för att strömma granskningsloggar för prenumerationer till en Log Analytics-arbetsyta för att övervaka händelser på prenumerationsnivå | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Application Insights-komponenter för att inaktivera åtkomst till offentligt nätverk för logginmatning och frågor | Inaktivera logginmatning av komponenter och frågor från offentliga nätverk för att förbättra säkerheten. Endast privata länkanslutna nätverk kan mata in och fråga loggar på den här arbetsytan. Läs mer på https://aka.ms/AzMonPrivateLink#configure-application-insights. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera Azure Log Analytics-arbetsytor för att inaktivera åtkomst till offentligt nätverk för logginmatning och frågor | Förbättra säkerheten på arbetsytan genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar på den här arbetsytan. Läs mer på https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera Azure Monitor Private Link-omfång för att blockera åtkomst till icke-privata länkresurser | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-resurser via en privat slutpunkt till ett Azure Monitor Private Link-omfång (AMPLS). Åtkomstlägen för private link är inställda på AMPLS för att styra om inmatning och frågebegäranden från dina nätverk kan nå alla resurser eller endast Private Link-resurser (för att förhindra dataexfiltrering). Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Monitor Private Link-omfång för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Monitor private link-omfång. Läs mer på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Monitor Private Link-omfång med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Monitor Private Link-omfång kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Linux-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Linux-servrar med Azure Monitoring Agent-inställningar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten med Azure Monitoring Agent-inställningar. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 1.1.2 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Windows-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Windows-servrar med Azure Monitoring Agent-inställningar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten med Azure Monitoring Agent-inställningar. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 1.1.2 |
| Konfigurera Linux Arc-datorer så att de associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka Linux Arc-datorer till den angivna datainsamlingsregeln eller den angivna datainsamlingsslutpunkten. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 2.2.0 |
| Konfigurera Linux Arc-aktiverade datorer för att köra Azure Monitor-agenten | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Linux Arc-aktiverade datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om regionen stöds. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 2.4.0 |
| Konfigurera Linux-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Linux-datorer, VM-skalningsuppsättningar och Arc-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 6.3.0 |
| Konfigurera skalningsuppsättningar för virtuella Linux-datorer som ska associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka skalningsuppsättningar för virtuella Linux-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 4.2.0 |
| Konfigurera skalningsuppsättningar för virtuella Linux-datorer för att köra Azure Monitor Agent med systemtilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.5.0 |
| Konfigurera skalningsuppsättningar för virtuella Linux-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.6.0 |
| Konfigurera virtuella Linux-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Linux-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 4.2.0 |
| Konfigurera virtuella Linux-datorer för att köra Azure Monitor Agent med systemtilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.5.0 |
| Konfigurera virtuella Linux-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.6.0 |
| Konfigurera Log Analytics-tillägget på Azure Arc-aktiverade Linux-servrar. Se utfasningsmeddelandet nedan | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera log analytics-tillägget för virtuella datorer. VM-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystemet och ger insikter om deras prestanda. Se mer - https://aka.ms/vminsightsdocs. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet | DeployIfNotExists, inaktiverad | 2.1.1 |
| Konfigurera Log Analytics-tillägget på Azure Arc-aktiverade Windows-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera log analytics-tillägget för virtuella datorer. VM-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystemet och ger insikter om deras prestanda. Se mer - https://aka.ms/vminsightsdocs. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. | DeployIfNotExists, inaktiverad | 2.1.1 |
| Konfigurera Log Analytics-arbetsyta och automationskonto för att centralisera loggar och övervakning | Distribuera resursgrupp som innehåller Log Analytics-arbetsytan och det länkade automationskontot för att centralisera loggar och övervakning. Automation-kontot är en förutsättning för lösningar som Uppdateringar och Ändringsspårning. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.0 |
| Konfigurera Att Windows Arc-datorer associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka Windows Arc-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 2.2.0 |
| Konfigurera Windows Arc-aktiverade datorer för att köra Azure Monitor-agenten | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-aktiverade datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 2.4.0 |
| Konfigurera Windows-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Windows-datorer, VM-skalningsuppsättningar och Arc-datorer till den angivna datainsamlingsregeln eller den angivna datainsamlingsslutpunkten. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 4.5.0 |
| Konfigurera skalningsuppsättningar för virtuella Windows-datorer som ska associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka skalningsuppsättningar för virtuella Windows-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 3.3.0 |
| Konfigurera skalningsuppsättningar för virtuella Windows-datorer för att köra Azure Monitor Agent med hjälp av systemtilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.4.0 |
| Konfigurera skalningsuppsättningar för virtuella Windows-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera virtuella Windows-datorer som ska associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka virtuella Windows-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 3.3.0 |
| Konfigurera virtuella Windows-datorer för att köra Azure Monitor Agent med hjälp av systemtilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 4.4.0 |
| Konfigurera virtuella Windows-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Beroendeagenten ska vara aktiverad för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om avbildningen av den virtuella datorn inte finns i listan som definierats och agenten inte är installerad. Listan över OS-avbildningar uppdateras med tiden när supporten uppdateras. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Beroendeagenten ska vara aktiverad i VM-skalningsuppsättningar för listade avbildningar av virtuella datorer | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om avbildningen av den virtuella datorn inte finns i listan som definierats och agenten inte är installerad. Listan över OS-avbildningar uppdateras med tiden när supporten uppdateras. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Distribuera – Konfigurera beroendeagenten så att den är aktiverad i vm-skalningsuppsättningar i Windows | Distribuera beroendeagenten för VM-skalningsuppsättningar i Windows om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera – Konfigurera beroendeagent som ska aktiveras på virtuella Windows-datorer | Distribuera beroendeagenten för virtuella Windows-datorer om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera – Konfigurera diagnostikinställningar för en Log Analytics-arbetsyta som ska aktiveras på Azure Key Vault Managed HSM | Distribuerar diagnostikinställningarna för Azure Key Vault Managed HSM för att strömma till en regional Log Analytics-arbetsyta när azure Key Vault Managed HSM som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera Log Analytics-tillägget så att det är aktiverat på skalningsuppsättningar för virtuella Windows-datorer | Distribuera Log Analytics-tillägget för skalningsuppsättningar för virtuella Windows-datorer om den virtuella datoravbildningen finns i listan som definierats och tillägget inte är installerat. Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera – Konfigurera Log Analytics-tillägget så att det är aktiverat på virtuella Windows-datorer | Distribuera Log Analytics-tillägget för virtuella Windows-datorer om den virtuella datoravbildningen finns i listan som definierats och tillägget inte är installerat. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera beroendeagent för VM-skalningsuppsättningar i Linux | Distribuera beroendeagenten för VM-skalningsuppsättningar för Linux om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. Obs! Om uppgraderingen av skalningsuppsättningenPolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgraderingen på dem. I CLI skulle detta vara az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Distribuera beroendeagenten för skalningsuppsättningar för virtuella Linux-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för skalningsuppsättningar för virtuella Linux-datorer med Azure Monitoring Agent-inställningar om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. Obs! Om uppgraderingen av skalningsuppsättningenPolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgraderingen på dem. I CLI skulle detta vara az vmss update-instances. | DeployIfNotExists, inaktiverad | 3.1.1 |
| Distribuera beroendeagent för virtuella Linux-datorer | Distribuera beroendeagenten för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. | deployIfNotExists | 5.0.0 |
| Distribuera beroendeagenten för virtuella Linux-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för virtuella Linux-datorer med Azure Monitoring Agent-inställningar om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. | DeployIfNotExists, inaktiverad | 3.1.1 |
| Distribuera beroendeagent som ska aktiveras på skalningsuppsättningar för virtuella Windows-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för VM-skalningsuppsättningar i Windows med Azure Monitoring Agent-inställningar om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. | DeployIfNotExists, inaktiverad | 1.2.2 |
| Distribuera beroendeagent som ska aktiveras på virtuella Windows-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för virtuella Windows-datorer med Azure Monitoring Agent-inställningar om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. | DeployIfNotExists, inaktiverad | 1.2.2 |
| Distribuera diagnostik Inställningar för Batch-konto till Händelsehubb | Distribuerar diagnostikinställningarna för Batch-kontot för att strömma till en regional händelsehubb när ett Batch-konto som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Batch-konto till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Batch-kontot för att strömma till en regional Log Analytics-arbetsyta när ett Batch-konto som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera diagnostik Inställningar för Data Lake Analytics till Event Hub | Distribuerar diagnostikinställningarna för Data Lake Analytics för att strömma till en regional händelsehubb när data lakeanalyser som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Data Lake Analytics till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Data Lake Analytics för att strömma till en regional Log Analytics-arbetsyta när data lakeanalyser som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera diagnostik Inställningar för Data Lake Storage Gen1 till Event Hub | Distribuerar diagnostikinställningarna för Data Lake Storage Gen1 för att strömma till en regional händelsehubb när alla Data Lake Storage Gen1 som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Data Lake Storage Gen1 till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Data Lake Storage Gen1 för att strömma till en regional Log Analytics-arbetsyta när alla Data Lake Storage Gen1 som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera diagnostik Inställningar för Event Hub till Event Hub | Distribuerar diagnostikinställningarna för händelsehubben för att strömma till en regional händelsehubb när en händelsehubb som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Distribuera diagnostik Inställningar för Event Hub till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för händelsehubben för att strömma till en regional Log Analytics-arbetsyta när en händelsehubb som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Key Vault till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Key Vault för att strömma till en regional Log Analytics-arbetsyta när ett Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 3.0.0 |
| Distribuera diagnostik Inställningar för Logic Apps till Event Hub | Distribuerar diagnostikinställningarna för Logic Apps för att strömma till en regional händelsehubb när alla Logic Apps som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Logic Apps till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Logic Apps för att strömma till en regional Log Analytics-arbetsyta när alla Logic Apps som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera diagnostik Inställningar för nätverkssäkerhetsgrupper | Den här principen distribuerar automatiskt diagnostikinställningar till nätverkssäkerhetsgrupper. Ett lagringskonto med namnet {storagePrefixParameter}{NSGLocation} skapas automatiskt. | deployIfNotExists | 2.0.1 |
| Distribuera diagnostik Inställningar för Search Services till Event Hub | Distribuerar diagnostikinställningarna för Search Services för att strömma till en regional händelsehubb när söktjänster som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Search Services till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Search Services för att strömma till en regional Log Analytics-arbetsyta när söktjänster som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera diagnostik Inställningar för Service Bus till Event Hub | Distribuerar diagnostikinställningarna för Service Bus för att strömma till en regional händelsehubb när en Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Service Bus till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Service Bus för att strömma till en regional Log Analytics-arbetsyta när en Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Distribuera diagnostik Inställningar för Stream Analytics till Event Hub | Distribuerar diagnostikinställningarna för Stream Analytics för att strömma till en regional händelsehubb när streamanalyser som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Stream Analytics till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Stream Analytics för att strömma till en regional Log Analytics-arbetsyta när en Stream Analytics som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera Log Analytics-tillägget för skalningsuppsättningar för virtuella Linux-datorer. Se utfasningsmeddelandet nedan | Distribuera Log Analytics-tillägget för skalningsuppsättningar för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan som definierats och tillägget inte är installerat. Obs! Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgraderingen på dem. I CLI skulle detta vara az vmss update-instances. Utfasningsmeddelande: Log Analytics-agenten stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet | deployIfNotExists | 3.0.0 |
| Distribuera Log Analytics-tillägget för virtuella Linux-datorer. Se utfasningsmeddelandet nedan | Distribuera Log Analytics-tillägget för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan som definierats och tillägget inte är installerat. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet | deployIfNotExists | 3.0.0 |
| Aktivera loggning efter kategorigrupp för API Management-tjänster (microsoft.apimanagement/service) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för API Management-tjänster (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för API Management-tjänster (microsoft.apimanagement/service) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för API Management-tjänster (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för API Management-tjänster (microsoft.apimanagement/service) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för API Management-tjänster (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för App Configuration (microsoft.appconfiguration/configurationstores) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för appkonfiguration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för App Configuration (microsoft.appconfiguration/configurationstores) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för App Configuration (microsoft.appconfiguration/configurationstores) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för appkonfiguration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för App Service (microsoft.web/sites) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för programgrupp (microsoft.desktopvirtualization/applicationgroups) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Virtual Desktop-programgrupp (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Application Insights (Microsoft.Insights/-komponenter) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Application Insights (Microsoft.Insights/-komponenter). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för attesteringsprovidrar (microsoft.attestation/attestationproviders) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för attesteringsprovidrar (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för attesteringsprovidrar (microsoft.attestation/attestationproviders) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för attesteringsprovidrar (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för attesteringsprovidrar (microsoft.attestation/attestationproviders) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för attesteringsprovidrar (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Automation-konton (microsoft.automation/automationaccounts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Händelsehubb för Automation-konton (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Automation-konton (microsoft.automation/automationaccounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Automation-konton (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Automation-konton (microsoft.automation/automationaccounts) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Automation-konton (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för PRIVATA AVS-moln (microsoft.avs/privateclouds) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för privata AVS-moln (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för PRIVATA AVS-moln (microsoft.avs/privateclouds) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för privata AVS-moln (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för PRIVATA AVS-moln (microsoft.avs/privateclouds) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för privata AVS-moln (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Cache for Redis (microsoft.cache/redis) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Azure Cache for Redis (microsoft.cache/redis) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Cache for Redis (microsoft.cache/redis) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Cosmos DB (microsoft.documentdb/databaseaccounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure FarmBeats (microsoft.agfoodplatform/farmbeats) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Händelsehubb för Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Azure FarmBeats (microsoft.agfoodplatform/farmbeats) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure FarmBeats (microsoft.agfoodplatform/farmbeats) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Machine Learning (microsoft.machinelearningservices/workspaces) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Azure Machine Learning (microsoft.machinelearningservices/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Azure Machine Learning (microsoft.machinelearningservices/workspaces) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Machine Learning (microsoft.machinelearningservices/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Machine Learning (microsoft.machinelearningservices/workspaces) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Azure Machine Learning (microsoft.machinelearningservices/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Bastions (microsoft.network/bastionhosts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Händelsehubb för Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Bastions (microsoft.network/bastionhosts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Bastions (microsoft.network/bastionhosts) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Cognitive Services (microsoft.cognitiveservices/accounts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Cognitive Services (microsoft.cognitiveservices/accounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Cognitive Services (microsoft.cognitiveservices/accounts) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för containerregister (microsoft.containerregistry/registries) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för containerregister (microsoft.containerregistry/register). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för containerregister (microsoft.containerregistry/registries) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för containerregister (microsoft.containerregister/register). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för containerregister (microsoft.containerregister/register) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för containerregister (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-domäner (microsoft.eventgrid/domäner) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Event Grid-domäner (microsoft.eventgrid/domäner). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-domäner (microsoft.eventgrid/domäner) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Event Grid-domäner (microsoft.eventgrid/domäner). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-domäner (microsoft.eventgrid/domäner) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Event Grid-domäner (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-partnernamnområden (microsoft.eventgrid/partnernamespaces) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Event Grid-partnernamnområden (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-partnernamnområden (microsoft.eventgrid/partnernamespaces) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Event Grid-partnernamnområden (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-partnernamnområden (microsoft.eventgrid/partnernamespaces) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Event Grid-partnernamnområden (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-ämnen (microsoft.eventgrid/topics) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Event Hub for Event Grid Topics (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-ämnen (microsoft.eventgrid/topics) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Event Grid Topics (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Event Grid-ämnen (microsoft.eventgrid/topics) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Event Grid-ämnen (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Event Hubs-namnområden (microsoft.eventhub/namespaces) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Event Hubs-namnområden (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
| Aktivera loggning efter kategorigrupp för Event Hubs-namnområden (microsoft.eventhub/namespaces) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Event Hubs-namnområden (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Event Hubs-namnområden (microsoft.eventhub/namespaces) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Event Hubs-namnområden (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för brandvägg (microsoft.network/azurefirewalls) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för brandväggen (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Front Door- och CDN-profiler (microsoft.cdn/profiles) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Front Door- och CDN-profiler (microsoft.cdn/profiler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Front Door- och CDN-profiler (microsoft.cdn/profiles) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Front Door- och CDN-profiler (microsoft.cdn/profiler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Front Door- och CDN-profiler (microsoft.cdn/profiles) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Front Door- och CDN-profiler (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Front Door- och CDN-profiler (microsoft.network/frontdoors) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Front Door- och CDN-profiler (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Front Door- och CDN-profiler (microsoft.network/frontdoors) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Front Door- och CDN-profiler (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Front Door- och CDN-profiler (microsoft.network/frontdoors) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Front Door- och CDN-profiler (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för funktionsapp (microsoft.web/sites) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för funktionsapp (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för värdpool (microsoft.desktopvirtualization/hostpools) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Virtual Desktop-värdpoolen (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för IoT Hub (microsoft.devices/iothubs) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för IoT Hub (microsoft.devices/iothubs) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för IoT Hub (microsoft.devices/iothubs) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Nyckelvalv (microsoft.keyvault/valv) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för nyckelvalv (microsoft.keyvault/valv). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Nyckelvalv (microsoft.keyvault/vaults) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Nyckelvalv (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Nyckelvalv (microsoft.keyvault/valv) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för nyckelvalv (microsoft.keyvault/valv). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Log Analytics-arbetsytor (microsoft.operationalinsights/arbetsytor) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Händelsehubb för Log Analytics-arbetsytor (microsoft.operationalinsights/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Log Analytics-arbetsytor (microsoft.operationalinsights/arbetsytor) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Log Analytics-arbetsytor (microsoft.operationalinsights/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Log Analytics-arbetsytor (microsoft.operationalinsights/arbetsytor) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Log Analytics-arbetsytor (microsoft.operationalinsights/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för hanterade HSM:er (microsoft.keyvault/managedhsms) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för hanterade HSM:er (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för hanterade HSM:er (microsoft.keyvault/managedhsms) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för hanterade HSM:er (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för hanterade HSM:er (microsoft.keyvault/managedhsms) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för hanterade HSM:er (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Media Services (microsoft.media/mediaservices) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Media Services (microsoft.media/mediaservices) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Media Services (microsoft.media/mediaservices) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Microsoft Purview-konton (microsoft.purview/accounts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Microsoft Purview-konton (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Microsoft Purview-konton (microsoft.purview/accounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Microsoft Purview-konton (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Microsoft Purview-konton (microsoft.purview/accounts) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Microsoft Purview-konton (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.network/p2svpngateways till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för microsoft.network/p2svpngateways till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.network/p2svpngateways till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Flexibel PostgreSQL-server (microsoft.dbforpostgresql/flexibleservers) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Database for PostgreSQL – flexibel server (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för offentliga IP-adresser (microsoft.network/publicipaddresses) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för offentliga IP-adresser (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
| Aktivera loggning efter kategorigrupp för offentliga IP-adresser (microsoft.network/publicipaddresses) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för offentliga IP-adresser (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för offentliga IP-adresser (microsoft.network/publicipaddresses) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för offentliga IP-adresser (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Service Bus-namnområden (microsoft.servicebus/namespaces) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Service Bus-namnområden (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Service Bus-namnområden (microsoft.servicebus/namespaces) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Service Bus-namnområden (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Service Bus-namnområden (microsoft.servicebus/namespaces) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Service Bus-namnområden (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för SignalR (microsoft.signalrservice/signalr) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Händelsehubb för SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för SignalR (microsoft.signalrservice/signalr) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för SignalR (microsoft.signalrservice/signalr) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för SQL-databaser (microsoft.sql/servrar/databaser) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för SQL-databaser (microsoft.sql/servrar/databaser). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
| Aktivera loggning efter kategorigrupp för SQL-databaser (microsoft.sql/servrar/databaser) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för SQL-databaser (microsoft.sql/servrar/databaser). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för SQL-databaser (microsoft.sql/servrar/databaser) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för SQL-databaser (microsoft.sql/servrar/databaser). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för SQL-hanterade instanser (microsoft.sql/managedinstances) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för SQL-hanterade instanser (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för SQL-hanterade instanser (microsoft.sql/managedinstances) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för SQL-hanterade instanser (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för SQL-hanterade instanser (microsoft.sql/managedinstances) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för SQL-hanterade instanser (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för videoanalyserare (microsoft.media/videoanalyzers) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för videoanalyser (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för videoanalysverktyg (microsoft.media/videoanalyzers) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för videoanalyserare (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för videoanalysverktyg (microsoft.media/videoanalyzers) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för videoanalyserare (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för virtuella nätverksgatewayer (microsoft.network/virtualnetworkgateways) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för virtuella nätverksgatewayer (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för virtuella nätverksgatewayer (microsoft.network/virtualnetworkgateways) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för virtuella nätverksgatewayer (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för virtuella nätverksgatewayer (microsoft.network/virtualnetworkgateways) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för virtuella nätverksgatewayer (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för volymer (microsoft.netapp/netappaccounts/capacitypools/volumes) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för volymer (microsoft.netapp/netappaccounts/capacitypools/volymer). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för volymer (microsoft.netapp/netappaccounts/capacitypools/volumes) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för volymer (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för volymer (microsoft.netapp/netappaccounts/capacitypools/volumes) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för volymer (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Web PubSub Service (microsoft.signalrservice/webpubsub) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Händelsehubb för Web PubSub Service (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Web PubSub Service (microsoft.signalrservice/webpubsub) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Web PubSub Service (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Web PubSub Service (microsoft.signalrservice/webpubsub) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Web PubSub Service (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Arbetsyta (microsoft.desktopvirtualization/workspaces) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Virtual Desktop-arbetsyta (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Linux Arc-aktiverade datorer bör ha Azure Monitor-agenten installerad | Linux Arc-aktiverade datorer bör övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar Arc-aktiverade datorer i regioner som stöds. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Skalningsuppsättningar för virtuella Linux-datorer bör ha Azure Monitor-agenten installerad | Skalningsuppsättningar för virtuella Linux-datorer bör övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar VM-skalningsuppsättningar med os-avbildningar som stöds i regioner som stöds. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Virtuella Linux-datorer bör ha Azure Monitor-agenten installerad | Virtuella Linux-datorer ska övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar virtuella datorer med os-avbildningar som stöds i regioner som stöds. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Log Analytics-arbetsytor bör blockera logginmatning och frågor från offentliga nätverk | Förbättra säkerheten på arbetsytan genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar på den här arbetsytan. Läs mer på https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Log Analytics-arbetsytor bör blockera icke-Azure Active Directory-baserad inmatning. | Om du framtvingar logginmatning för att kräva Azure Active Directory-autentisering förhindras oautentiserade loggar från en angripare, vilket kan leda till felaktig status, falska aviseringar och felaktiga loggar som lagras i systemet. | Neka, Granska, Inaktiverad | 1.0.0 |
| Offentliga IP-adresser ska ha resursloggar aktiverade för Azure DDoS Protection | Aktivera resursloggar för offentliga IP-adresser i diagnostikinställningar för att strömma till en Log Analytics-arbetsyta. Få detaljerad insyn i attacktrafik och åtgärder som vidtas för att minimera DDoS-attacker via meddelanden, rapporter och flödesloggar. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.1 |
| Resursloggar ska vara aktiverade för Granskning av resurser som stöds | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Förekomsten av en diagnostikinställning för kategorigruppen Granskning av de valda resurstyperna säkerställer att dessa loggar aktiveras och registreras. Tillämpliga resurstyper är de som stöder kategorigruppen "Granskning". | AuditIfNotExists, inaktiverad | 1.0.0 |
| Sparade frågor i Azure Monitor ska sparas i kundens lagringskonto för loggkryptering | Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med lagringskontokryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queriesfinns i . | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK | Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på Azure Arc-aktiverade Linux-servrar | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på Azure Arc-aktiverade Linux-servrar. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på Azure Arc-aktiverade Windows-servrar | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på Azure Arc-aktiverade Windows-servrar. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på skalningsuppsättningar för virtuella Linux-datorer | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på skalningsuppsättningar för virtuella Linux-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på virtuella Linux-datorer | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på virtuella Linux-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på vm-skalningsuppsättningar | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på skalningsuppsättningar för virtuella Windows-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget ska inte installeras på virtuella datorer | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på virtuella Windows-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Windows Arc-aktiverade datorer bör ha Azure Monitor-agenten installerad | Windows Arc-aktiverade datorer bör övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Windows Arc-aktiverade datorer i regioner som stöds övervakas för distribution av Azure Monitor Agent. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Skalningsuppsättningar för virtuella Windows-datorer bör ha Azure Monitor-agenten installerad | Skalningsuppsättningar för virtuella Windows-datorer ska övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Vm-skalningsuppsättningar med operativsystem som stöds och i regioner som stöds övervakas för distribution av Azure Monitor Agent. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Virtuella Windows-datorer bör ha Azure Monitor-agenten installerad | Virtuella Windows-datorer ska övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Virtuella Windows-datorer med operativsystem som stöds och i regioner som stöds övervakas för distribution av Azure Monitor Agent. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Arbetsböcker ska sparas på lagringskonton som du styr | Med ByOS (Bring Your Own Storage) laddas arbetsböckerna upp till ett lagringskonto som du styr. Det innebär att du styr krypterings-i-vila-principen, policyn för livslängdshantering och nätverksåtkomst. Du kommer dock att ansvara för de kostnader som är kopplade till det lagringskontot. Mer information finns på https://aka.ms/workbooksByos | neka, neka, granska, Granska, inaktiverad, Inaktiverad | 1.1.0 |
Nätverk
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Container Registry bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla containerregister som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0-preview |
| En anpassad IPsec/IKE-princip måste tillämpas på alla azure-anslutningar för virtuella nätverksgatewayer | Den här principen säkerställer att alla anslutningar för virtuella Azure-nätverksgatewayer använder en anpassad IKE-princip (Internet Protocol Security(Ipsec)/Internet Key Exchange(IKE). Algoritmer och viktiga styrkor som stöds – https://aka.ms/AA62kb0 | Granskning, inaktiverad | 1.0.0 |
| Alla flödesloggresurser ska vara i aktiverat tillstånd | Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverat. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| App Service-appar bör använda en tjänstslutpunkt för virtuellt nätverk | Använd tjänstslutpunkter för virtuella nätverk för att begränsa åtkomsten till din app från valda undernät från ett virtuellt Azure-nätverk. Mer information om App Service-tjänstslutpunkter finns i https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska flödesloggkonfiguration för varje virtuellt nätverk | Granska för virtuellt nätverk för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom det virtuella nätverket. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| Azure Application Gateway ska distribueras med Azure WAF | Kräver att Azure Application Gateway-resurser distribueras med Azure WAF. | Granska, neka, inaktiverad | 1.0.0 |
| Azure-brandväggsprincipen bör aktivera TLS-inspektion i programregler | Aktivering av TLS-inspektion rekommenderas för alla programregler för att identifiera, avisera och minimera skadlig aktivitet i HTTPS. Mer information om TLS-inspektion med Azure Firewall finns i https://aka.ms/fw-tlsinspect | Granska, neka, inaktiverad | 1.0.0 |
| Azure Firewall Premium bör konfigurera ett giltigt mellanliggande certifikat för att aktivera TLS-inspektion | Konfigurera ett giltigt mellanliggande certifikat och aktivera Azure Firewall Premium TLS-inspektion för att identifiera, varna och minimera skadlig aktivitet i HTTPS. Mer information om TLS-inspektion med Azure Firewall finns i https://aka.ms/fw-tlsinspect | Granska, neka, inaktiverad | 1.0.0 |
| Azure VPN-gatewayer bör inte använda "grundläggande" SKU | Den här principen säkerställer att VPN-gatewayer inte använder "grundläggande" SKU. | Granskning, inaktiverad | 1.0.0 |
| Azure Web Application Firewall på Azure Application Gateway bör ha kontroll av begärandetext aktiverat | Se till att brandväggar för webbprogram som är associerade med Azure Application Gateways har kontroll av begärandetext aktiverad. Detta gör att WAF kan inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web Application Firewall på Azure Front Door bör ha begärandetextkontroll aktiverad | Se till att brandväggar för webbprogram som är associerade med Azure Front Doors har kontroll av begärandetext aktiverat. Detta gör att WAF kan inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Bot Protection ska vara aktiverat för Azure Application Gateway WAF | Den här principen säkerställer att robotskyddet är aktiverat i alla Waf-principer (Web Application Gateway Web Application Firewall) | Granska, neka, inaktiverad | 1.0.0 |
| Bot Protection ska vara aktiverat för Azure Front Door WAF | Den här principen säkerställer att robotskydd är aktiverat i alla WaF-principer (Azure Front Door Web Application Firewall) | Granska, neka, inaktiverad | 1.0.0 |
| Kringgå listan över intrångsidentifierings- och skyddssystem (IDPS) bör vara tom i Firewall Policy Premium | Med listan över förbikopplingslistor för intrångsidentifiering och skyddssystem (IDPS) kan du inte filtrera trafik till någon av de IP-adresser, intervall och undernät som anges i listan över förbikopplingar. Aktivering av IDPS rekommenderas dock på nytt för alla trafikflöden för att bättre identifiera kända hot. Mer information om signaturer för intrångsidentifiering och skyddssystem (IDPS) med Azure Firewall Premium finns i https://aka.ms/fw-idps-signature | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera diagnostikinställningar för Azure-nätverkssäkerhetsgrupper till Log Analytics-arbetsytan | Distribuera diagnostikinställningar till Azure Network Security Groups för att strömma resursloggar till en Log Analytics-arbetsyta. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera nätverkssäkerhetsgrupper för att aktivera trafikanalys | Trafikanalys kan aktiveras för alla nätverkssäkerhetsgrupper som finns i en viss region med de inställningar som anges när principen skapas. Om trafikanalys redan har aktiverats skriver principen inte över inställningarna. Flödesloggar är också aktiverade för nätverkssäkerhetsgrupper som inte har den. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera nätverkssäkerhetsgrupper för att använda en specifik arbetsyta, lagringskonto och kvarhållningsprincip för flödesloggar för trafikanalys | Om trafikanalys redan har aktiverats skriver principen över sina befintliga inställningar med de som angavs när principen skapades. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera virtuellt nätverk för att aktivera flödeslogg och trafikanalys | Trafikanalys och flödesloggar kan aktiveras för alla virtuella nätverk som finns i en viss region med de inställningar som anges när principen skapas. Den här principen skriver inte över den aktuella inställningen för virtuella nätverk som redan har funktionen aktiverad. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.1.1 |
| Konfigurera virtuella nätverk för att framtvinga arbetsyta, lagringskonto och kvarhållningsintervall för Flödesloggar och Traffic Analytics | Om ett virtuellt nätverk redan har trafikanalys aktiverat skriver den här principen över sina befintliga inställningar med de som angavs när principen skapades. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.1.2 |
| Cosmos DB bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Cosmos DB-databaser som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Distribuera en flödesloggresurs med målnätverkssäkerhetsgruppen | Konfigurerar flödesloggen för en specifik nätverkssäkerhetsgrupp. Det gör det möjligt att logga information om IP-trafik som flödar via en nätverkssäkerhetsgrupp. Flödesloggen hjälper till att identifiera okänd eller oönstrade trafik, verifiera nätverksisolering och efterlevnad av företagets åtkomstregler, analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. | deployIfNotExists | 1.1.0 |
| Distribuera en flödesloggresurs med ett virtuellt målnätverk | Konfigurerar flödesloggen för ett specifikt virtuellt nätverk. Det gör det möjligt att logga information om IP-trafik som flödar genom ett virtuellt nätverk. Flödesloggen hjälper till att identifiera okänd eller oönstrade trafik, verifiera nätverksisolering och efterlevnad av företagets åtkomstregler, analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. | DeployIfNotExists, inaktiverad | 1.1.1 |
| Distribuera network watcher när virtuella nätverk skapas | Den här principen skapar en resurs för nätverksbevakare i regioner med virtuella nätverk. Du måste se till att det finns en resursgrupp med namnet networkWatcherRG, som ska användas för att distribuera nätverksbevakarinstanser. | DeployIfNotExists | 1.0.0 |
| Aktivera hastighetsbegränsningsregel för att skydda mot DDoS-attacker på Azure Front Door WAF | Hastighetsbegränsningsregeln för Azure Web Application Firewall (WAF) för Azure Front Door styr antalet begäranden som tillåts från en viss klient-IP-adress till programmet under en hastighetsgräns. | Granska, neka, inaktiverad | 1.0.0 |
| Event Hub ska använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla händelsehubbar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Firewall Policy Premium bör göra det möjligt för alla IDPS-signaturregler att övervaka alla inkommande och utgående trafikflöden | Alla signaturregler för intrångsidentifiering och skyddssystem (IDPS) aktiveras på nytt för att bättre identifiera kända hot i trafikflödena. Mer information om signaturer för intrångsidentifiering och skyddssystem (IDPS) med Azure Firewall Premium finns i https://aka.ms/fw-idps-signature | Granska, neka, inaktiverad | 1.0.0 |
| Firewall Policy Premium bör aktivera IDPS (Intrusion Detection and Prevention System) | Genom att aktivera IDPS (Intrusion Detection and Prevention System) kan du övervaka nätverket för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den. Mer information om IDPS (Intrusion Detection and Prevention System) med Azure Firewall Premium finns i https://aka.ms/fw-idps | Granska, neka, inaktiverad | 1.0.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Gateway-undernät ska inte konfigureras med en nätverkssäkerhetsgrupp | Den här principen nekar om ett gateway-undernät har konfigurerats med en nätverkssäkerhetsgrupp. Om du tilldelar en nätverkssäkerhetsgrupp till ett gatewayundernät slutar gatewayen att sluta fungera. | avvisa | 1.0.0 |
| Key Vault bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Nyckelvalv som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Migrera WAF från WAF Config till WAF-princip på Application Gateway | Om du har WAF-konfiguration i stället för WAF-princip kanske du vill flytta till den nya WAF-principen. Framöver stöder brandväggsprincipen WAF-principinställningar, hanterade regeluppsättningar, undantag och inaktiverade regelgrupper. | Granska, neka, inaktiverad | 1.0.0 |
| Nätverksgränssnitt bör inaktivera IP-vidarebefordran | Den här principen nekar de nätverksgränssnitt som aktiverade IP-vidarebefordran. Inställningen för IP-vidarebefordran inaktiverar Azures kontroll av källan och målet för ett nätverksgränssnitt. Detta bör granskas av nätverkssäkerhetsteamet. | avvisa | 1.0.0 |
| Nätverksgränssnitt bör inte ha offentliga IP-adresser | Den här principen nekar de nätverksgränssnitt som har konfigurerats med offentliga IP-adresser. Offentliga IP-adresser gör det möjligt för Internet-resurser att kommunicera ingående till Azure-resurser och Azure-resurser att kommunicera utgående till Internet. Detta bör granskas av nätverkssäkerhetsteamet. | avvisa | 1.0.0 |
| Network Watcher-flödesloggar bör ha trafikanalys aktiverat | Trafikanalys analyserar flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Den kan användas för att visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster, hitta felkonfigurationer i nätverket med mera. | Granskning, inaktiverad | 1.0.1 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL Server bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla SQL Server-servrar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lagringskonton bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla lagringskonton som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Prenumerationen bör konfigurera Azure Firewall Premium för att tillhandahålla ytterligare skyddslager | Azure Firewall Premium tillhandahåller avancerat skydd mot hot som uppfyller behoven i mycket känsliga och reglerade miljöer. Distribuera Azure Firewall Premium till din prenumeration och se till att all tjänsttrafik skyddas av Azure Firewall Premium. Mer information om Azure Firewall Premium finns i https://aka.ms/fw-premium | AuditIfNotExists, inaktiverad | 1.0.0 |
| Virtuella datorer ska vara anslutna till ett godkänt virtuellt nätverk | Den här principen granskar alla virtuella datorer som är anslutna till ett virtuellt nätverk som inte har godkänts. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella nätverk bör skyddas av Azure DDoS Protection | Skydda dina virtuella nätverk mot volym- och protokollattacker med Azure DDoS Protection. Mer information finns på https://aka.ms/ddosprotectiondocs. | Ändra, granska, inaktiverad | 1.0.1 |
| Virtuella nätverk bör använda angiven virtuell nätverksgateway | Den här principen granskar alla virtuella nätverk om standardvägen inte pekar på den angivna virtuella nätverksgatewayen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| VPN-gatewayer bör endast använda Azure Active Directory-autentisering (Azure AD) för punkt-till-plats-användare | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att vpn-gatewayer endast använder Azure Active Directory-identiteter för autentisering. Läs mer om Azure AD-autentisering på https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Granska, neka, inaktiverad | 1.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Brandvägg för webbaserade program (WAF) bör aktivera alla brandväggsregler för Application Gateway | Om du aktiverar alla WAF-regler (Web Application Firewall) stärker du programsäkerheten och skyddar dina webbprogram mot vanliga säkerhetsrisker. Mer information om Brandvägg för webbaserade program (WAF) med Application Gateway finns i https://aka.ms/waf-ag | Granska, neka, inaktiverad | 1.0.1 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Portalen
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Delade instrumentpaneler bör inte ha markdown-paneler med infogat innehåll | Tillåt inte att du skapar en delad instrumentpanel som har infogat innehåll i markdown-paneler och framtvingar att innehållet ska lagras som en markdown-fil som finns online. Om du använder infogat innehåll i markdown-panelen kan du inte hantera kryptering av innehållet. Genom att konfigurera din egen lagring kan du kryptera, dubbelkryptera och till och med ta med dina egna nycklar. Om du aktiverar den här principen begränsas användarnas användning av rest-API:et för 2020-09-01-förhandsversion eller högre. | Granska, neka, inaktiverad | 1.0.0 |
Elasticitet
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: API Management Service ska vara zonredundant | API Management-tjänsten kan konfigureras så att den är zonredundant eller inte. En API Management-tjänst är zonredundant om dess sku-namn är "Premium" och det har minst två poster i matrisen för zoner. Den här principen identifierar API Management Services som saknar den redundans som krävs för att klara ett zonstopp. | Granska, neka, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: App Service-planer bör vara zonredundanta | App Service-planer kan konfigureras så att de är zonredundanta eller inte. När egenskapen "zoneRedundant" är inställd på "false" för en App Service-plan är den inte konfigurerad för zonredundans. Den här principen identifierar och tillämpar zonredundanskonfigurationen för App Service-planer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Application Gateways ska vara zontåliga | Application Gateways kan konfigureras så att de antingen är zonjusterade, zonredundanta eller ingetdera. Application Gatewaysmthat havenexactly en post i deras zonmatris anses zonjusterad. Däremot identifieras Application Gatmways med 3 eller fler poster i deras zonmatris som Zonredundant. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure AI Search Service ska vara zonredundant | Azure AI Search Service kan konfigureras till zonredundant eller inte. Tillgänglighetszoner används när du lägger till två eller flera repliker i söktjänsten. Varje replik placeras i en annan tillgänglighetszon i regionen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Cache for Redis Enterprise & Flash ska vara zonredundant | Azure Cache for Redis Enterprise & Flash kan konfigureras till zonredundant eller inte. Azure Cache for Redis Enterprise- och Flash-instanser med färre än 3 poster i zonmatrisen är inte zonredundanta. Den här principen identifierar Azure Cache for Redis Enterprise- och Flash-instanser som saknar den redundans som krävs för att klara ett zonfel. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Cache for Redis ska vara zonredundant | Azure Cache for Redis kan konfigureras till zonredundant eller inte. Azure Cache for Redis-instanser med färre än 2 poster i deras zonmatris är inte zonredundanta. Den här principen identifierar Azure Cache for Redis-instanser som saknar den redundans som krävs för att klara ett zonfel. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Data Explorer-kluster ska vara zonredundanta | Azure Data Explorer-kluster kan konfigureras så att de är zonredundanta eller inte. Ett Azure Data Explorer-kluster anses vara zonredundant om det har minst två poster i sin zonmatris. Den här principen hjälper till att säkerställa att dina Azure Data Explorer-kluster är zonredundanta. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Database for MySQL – flexibel server ska vara zonmotståndskraftig | Azure Database for MySQL – flexibel server kan konfigureras till antingen zonjusterad, zonredundant eller ingetdera. MySQL-server som har en väntelägesserver vald i samma zon för hög tillgänglighet anses vara zonjusterad. MySQL-server som har en väntelägesserver vald för att vara i en annan zon för hög tillgänglighet identifieras däremot som zonredundant. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Database for PostgreSQL – flexibel server ska vara zonmotståndskraftig | Azure Database for PostgreSQL – flexibel server kan konfigureras till antingen zonjusterad, zonredundant eller ingetdera. PostgreSQL-server som har en väntelägesserver vald i samma zon för hög tillgänglighet anses vara zonjusterad. PostgreSQL-server som har en väntelägesserver vald för att vara i en annan zon för hög tillgänglighet identifieras däremot som zonredundant. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure HDInsight bör vara zonjusterad | Azure HDInsight kan konfigureras till zonjusterad eller inte. Azure HDInsight som har exakt en post i sin zonmatris anses vara zonjusterad. Den här principen säkerställer att ett Azure HDInsight-kluster är konfigurerat att fungera inom en enda tillgänglighetszon. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Kubernetes Service Managed Clusters bör vara zonredundanta | Azure Kubernetes Service Managed Clusters kan konfigureras som zonredundanta eller inte. Principen kontrollerar nodpoolerna i klustret och ser till att avaialbilty-zoner anges för alla nodpooler. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Managed Grafana ska vara zonredundant | Azure Managed Grafana kan konfigureras till zonredundant eller inte. En Azure Managed Grafana-instans är zonredundant och dess egenskap "zoneRedundancy" är inställd på "Aktiverad". Genom att tillämpa den här principen ser du till att din Azure Managed Grafana är korrekt konfigurerad för zonresiliens, vilket minskar risken för avbrott i zonen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Säkerhetskopiering och Site Recovery bör vara zonredundanta | Säkerhetskopiering och Site Recovery kan konfigureras så att de är zonredundanta eller inte. Säkerhetskopiering och Site Recovery är zonredundant om dess egenskap "standardTierStorageRedundancy" är inställd på "ZoneRedundant". Genom att tillämpa den här principen ser du till att Säkerhetskopiering och Site Recovery är korrekt konfigurerade för zonåterhämtning, vilket minskar risken för avbrott i zonen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Säkerhetskopieringsvalv bör vara zonredundanta | Säkerhetskopieringsvalv kan konfigureras så att de är zonredundanta eller inte. Säkerhetskopieringsvalv är zonredundanta om dess typ av lagringsinställningar är inställd på "ZoneRedundant" och de anses vara motståndskraftiga. Geo-redundanta eller lokalt redundanta säkerhetskopieringsvalv anses inte vara motståndskraftiga. Genom att tillämpa den här principen ser du till att Säkerhetskopieringsvalv är korrekt konfigurerade för zonresiliens, vilket minskar risken för avbrott i zonen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Containerappen ska vara zonredundant | ContainerAppen kan konfigureras så att den är zonredundant eller inte. En containerapp är zonredundant om dess hanterade miljös egenskapen ZoneRedundant är inställd på true. Den här principen identifierar containerappen som saknar den redundans som krävs för att klara ett zonavbrott. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Containerinstanser ska vara zonjusterade | Containerinstanser kan konfigureras så att de är zonjusterade eller inte. De betraktas som zonjusterade om de bara har en post i sin zonmatris. Den här principen säkerställer att de är konfigurerade för att fungera inom en enda tillgänglighetszon. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Containerregistret ska vara zonredundant | Container Registry kan konfigureras så att det är zonredundant eller inte. När egenskapen zoneRedundancy för ett containerregister är inställd på "Disabled" betyder det att registret inte är zonredundant. Genom att tillämpa den här principen ser du till att containerregistret är korrekt konfigurerat för zonresiliens, vilket minskar risken för avbrott i zonen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Cosmos-databaskonton ska vara zonredundanta | Cosmos Database-konton kan konfigureras så att de är zonredundanta eller inte. Om "enableMultipleWriteLocations" är inställt på "true" måste alla platser ha egenskapen "isZoneRedundant" och den måste vara inställd på "true". Om "enableMultipleWriteLocations" är inställt på "false" måste den primära platsen ("failoverPriority" inställd på 0) ha egenskapen "isZoneRedundant" och den måste vara inställd på "true". Genom att tillämpa den här principen säkerställer du att Cosmos Database-konton är korrekt konfigurerade för zonredundans. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Händelsehubbar ska vara zonredundanta | Event Hubs kan konfigureras så att de är zonredundanta eller inte. Händelsehubbar är zonredundanta om egenskapen "zoneRedundant" är inställd på "true". Genom att tillämpa den här principen ser du till att Event Hubs är korrekt konfigurerade för zonresiliens, vilket minskar risken för avbrott i zonen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Brandväggar ska vara zontåliga | Brandväggar kan konfigureras så att de antingen är zonjusterade, zonredundanta eller ingetdera. Brandväggar som har exakt en post i dess zonmatris betraktas som zonjusterade. Brandväggar med 3 eller fler poster i dess zonmatris identifieras däremot som zonredundanta. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Lastbalanserare ska vara zontåliga | Lastbalanserare med en annan SKU än Basic ärver motståndskraften hos de offentliga IP-adresserna i klientdelen. I kombination med principen "Offentliga IP-adresser ska vara zontåliga" säkerställer den här metoden den redundans som krävs för att klara ett zonstopp. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Hanterade diskar ska vara zontåliga | Hanterade diskar kan konfigureras så att de antingen är zonjusterade, zonredundanta eller ingetdera. Hanterade diskar med exakt en zontilldelning är zonjusterade. Hanterade diskar med ett SKU-namn som slutar i ZRS är zonredundanta. Den här principen hjälper dig att identifiera och framtvinga dessa motståndskraftskonfigurationer för hanterade diskar. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: NAT-gatewayen ska vara zonjusterad | NAT-gatewayen kan konfigureras så att den är zonjusterad eller inte. NAT-gateway som har exakt en post i sin zonmatris anses vara zonjusterad. Den här principen säkerställer att en NAT-gateway är konfigurerad att fungera inom en enda tillgänglighetszon. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Offentliga IP-adresser ska vara zontåliga | Offentliga IP-adresser kan konfigureras till antingen Zonjusterad, Zonredundant eller ingetdera. Offentliga IP-adresser som är regionala, med exakt en post i zonmatrisen anses vara zonjusterad. Offentliga IP-adresser som är regionala med 3 eller fler poster i deras zonmatris identifieras däremot som zonredundanta. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Offentliga IP-prefix ska vara zontåliga | Offentliga IP-prefix kan konfigureras till antingen Zonjusterad, Zonredundant eller ingetdera. Offentliga IP-prefix som har exakt en post i zonmatrisen anses vara zonjusterade. Offentliga IP-prefix med 3 eller fler poster i deras zonmatris identifieras däremot som zonredundanta. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Service Bus ska vara zonredundant | Service Bus kan konfigureras till zonredundant eller inte. När egenskapen "zoneRedundant" är inställd på "false" för en Service Bus innebär det att den inte har konfigurerats för zonredundans. Den här principen identifierar och framtvingar zonredundanskonfigurationen för Service Bus-instanser. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Service Fabric-kluster ska vara zonredundanta | Service Fabric-kluster kan konfigureras så att de är zonredundanta eller inte. Servicefabric-kluster vars nodeType inte har multipleAvailabilityZones inställda på true är inte zonredundanta. Den här principen identifierar Servicefabric-kluster som saknar den redundans som krävs för att klara ett zonavbrott. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: SQL-databaser ska vara zonredundanta | SQL-databaser kan konfigureras så att de är zonredundanta eller inte. Databaser med inställningen "zoneRedundant" inställd på "false" har inte konfigurerats för zonredundans. Den här principen hjälper dig att identifiera SQL-databaser som behöver zonredundanskonfiguration för att förbättra tillgängligheten och motståndskraften i Azure. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: SQL Elastic Database-pooler ska vara zonredundanta | Sql Elastic Database-pooler kan konfigureras till zonredundanta eller inte. SQL Elastic Database-pooler är zonredundanta om egenskapen "zoneRedundant" är inställd på "true". Genom att tillämpa den här principen ser du till att Event Hubs är korrekt konfigurerade för zonresiliens, vilket minskar risken för avbrott i zonen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: SQL Managed Instances ska vara zonredundanta | SQL Managed Instances kan konfigureras så att de är zonredundanta eller inte. Instanser med inställningen "zoneRedundant" inställd på "false" har inte konfigurerats för zonredundans. Den här principen hjälper dig att identifiera SQL managedInstances som behöver zonredundanskonfiguration för att förbättra tillgängligheten och motståndskraften i Azure. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Lagringskonton ska vara zonredundanta | Lagringskonton kan konfigureras så att de är zonredundanta eller inte. Om ett lagringskontos SKU-namn inte slutar med "ZRS" eller om dess typ är "Lagring" är det inte zonredundant. Den här principen säkerställer att dina lagringskonton använder en zonredundant konfiguration. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Vm-skalningsuppsättningar ska vara zontåliga | Vm-skalningsuppsättningar kan konfigureras till antingen Zonjusterad, Zonredundant eller ingetdera. Vm-skalningsuppsättningar som har exakt en post i zonmatrisen betraktas som zonjusterade. Däremot identifieras vm-skalningsuppsättningar med 3 eller fler poster i deras zonmatris och en kapacitet på minst 3 som zonredundant. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Virtuella datorer ska vara zonjusterade | Virtuella datorer kan konfigureras så att de är zonjusterade eller inte. De betraktas som zonjusterade om de bara har en post i sin zonmatris. Den här principen säkerställer att de är konfigurerade för att fungera inom en enda tillgänglighetszon. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Virtuella nätverksgatewayer ska vara zonredundanta | Virtuella nätverksgatewayer kan konfigureras som zonredundanta eller inte. Virtuella nätverksgatewayer vars SKU-namn eller nivå inte slutar med "AZ" är inte zonredundanta. Den här principen identifierar virtuella nätverksgatewayer som saknar den redundans som krävs för att klara ett zonfel. | Granska, neka, inaktiverad | 1.0.0-preview |
Sök
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Cognitive tjänsten Search endast kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/azure-cognitive-search/rbac. Observera att även om parametern inaktivera lokal autentisering fortfarande är i förhandsversion kan neka-effekten för den här principen resultera i begränsade Funktioner i Azure Cognitive Search-portalen eftersom vissa funktioner i portalen använder GA-API:et som inte stöder parametern. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda kundhanterade nycklar för att kryptera vilande data | Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i azure cognitive tjänsten Search s får du ytterligare kontroll över nyckeln som används för att kryptera vilande data. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav för att hantera datakrypteringsnycklar med hjälp av ett nyckelvalv. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Konfigurera Azure Cognitive tjänsten Search för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att azure cognitive-tjänsten Search endast kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/azure-cognitive-search/rbac. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Cognitive tjänsten Search s för att inaktivera åtkomst till offentliga nätverk | Inaktivera offentlig nätverksåtkomst för azure cognitive tjänsten Search så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Cognitive tjänsten Search för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha din Azure Cognitive tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Cognitive tjänsten Search med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till din Azure Cognitive-tjänsten Search kan du minska risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
Security Center
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Security-agenten ska vara installerad på dina Linux Arc-datorer | Installera Azure Security-agenten på dina Linux Arc-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Security-agenten bör installeras på dina skalningsuppsättningar för virtuella Linux-datorer | Installera Azure Security-agenten på dina skalningsuppsättningar för virtuella Linux-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Azure Security-agenten bör installeras på dina virtuella Linux-datorer | Installera Azure Security-agenten på dina virtuella Linux-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Azure Security-agenten ska vara installerad på dina Windows Arc-datorer | Installera Azure Security-agenten på dina Windows Arc-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Security-agenten ska vara installerad på dina skalningsuppsättningar för virtuella Windows-datorer | Installera Azure Security-agenten på skalningsuppsättningar för virtuella Windows-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Azure Security-agenten bör installeras på dina virtuella Windows-datorer | Installera Azure Security-agenten på dina virtuella Windows-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska vara installerat på Linux Arc-datorn | Installera ChangeTracking-tillägget på Linux Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska installeras på den virtuella Linux-datorn | Installera ChangeTracking-tillägget på virtuella Linux-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget bör installeras på dina skalningsuppsättningar för virtuella Linux-datorer | Installera ChangeTracking-tillägget på skalningsuppsättningar för virtuella Linux-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska vara installerat på din Windows Arc-dator | Installera ChangeTracking-tillägget på Windows Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska installeras på den virtuella Windows-datorn | Installera ChangeTracking-tillägget på virtuella Windows-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska vara installerat på dina skalningsuppsättningar för virtuella Windows-datorer | Installera ChangeTracking-tillägget på skalningsuppsättningar för virtuella Windows-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Defender för SQL-agenten på en virtuell dator | Konfigurera Windows-datorer för att automatiskt installera Azure Defender för SQL-agenten där Azure Monitor-agenten är installerad. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapar en resursgrupp och Log Analytics-arbetsyta i samma region som datorn. Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för Linux Arc-datorer | Konfigurera Linux Arc-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för skalningsuppsättningar för virtuella Linux-datorer | Konfigurera skalningsuppsättningar för virtuella Linux-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för virtuella Linux-datorer | Konfigurera virtuella Linux-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för Windows Arc-datorer | Konfigurera Windows Arc-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för VM-skalningsuppsättningar i Windows | Konfigurera skalningsuppsättningar för virtuella Windows-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för virtuella Windows-datorer | Konfigurera virtuella Windows-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Linux Arc-måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 6.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera säker start | Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. | DeployIfNotExists, inaktiverad | 5.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 7.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 7.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM | Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Windows Arc-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera Windows Arc-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Windows Arc-måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera Windows-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 5.1.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skalningsuppsättningar för virtuella Windows-måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 4.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer som stöds för att automatiskt aktivera säker start | Konfigurera virtuella Windows-datorer som stöds för att automatiskt aktivera säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. | DeployIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 5.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella datorer som skapats med delade bildgalleriavbildningar för att installera gästattesteringstillägget | Konfigurera virtuella datorer som skapats med delade bildgalleriavbildningar för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera VMSS som skapats med delade bildgalleriavbildningar för att installera gästattesteringstillägget | Konfigurera VMSS som skapats med delade bildgalleriavbildningar för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på Linux-hybriddatorer | Distribuerar Microsoft Defender för Endpoint-agenten på Linux-hybriddatorer | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på virtuella Linux-datorer | Distribuerar Microsoft Defender för Endpoint-agenten på tillämpliga avbildningar av virtuella Linux-datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på Windows Azure Arc-datorer | Distribuerar Microsoft Defender för Endpoint på Windows Azure Arc-datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på virtuella Windows-datorer | Distribuerar Microsoft Defender för Endpoint på tillämpliga avbildningar av virtuella Windows-datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. | AuditIfNotExists, inaktiverad | 5.1.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | AuditIfNotExists, inaktiverad | 4.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer. | AuditIfNotExists, inaktiverad | 3.1.0-preview |
| [Förhandsversion]: Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter | Alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) måste signeras av betrodda utgivare. Defender för molnet har identifierat ej betrodda operativsystemsstartkomponenter på en eller flera av dina Linux-datorer. Om du vill skydda dina datorer från potentiellt skadliga komponenter lägger du till dem i listan över tillåtna komponenter eller tar bort de identifierade komponenterna. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Virtuella Linux-datorer bör använda säker start | För att skydda mot installation av rotkits och startpaket baserade på skadlig kod aktiverar du Säker start på virtuella Linux-datorer som stöds. Säker start säkerställer att endast signerade operativsystem och drivrutiner tillåts köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Datorer bör ha portar stängda som kan exponera attackvektorer | Användningsvillkoren för Azure förbjuder användning av Azure-tjänster på sätt som kan skada, inaktivera, överbelasta eller försämra någon Microsoft-server eller nätverket. De exponerade portar som identifieras i den här rekommendationen måste stängas för din fortsatta säkerhet. För varje identifierad port ger rekommendationen också en förklaring av det potentiella hotet. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | Granskning, inaktiverad | 4.0.0-preview |
| [Förhandsversion]: Systemuppdateringar bör installeras på dina datorer (drivs av Uppdateringscenter) | Dina datorer saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Statusen för gästattestering för virtuella datorer bör vara felfri | Gästattestering utförs genom att skicka en betrodd logg (TCGLog) till en attesteringsserver. Servern använder dessa loggar för att avgöra om startkomponenterna är tillförlitliga. Den här utvärderingen är avsedd att identifiera kompromisser i startkedjan som kan bero på en bootkit- eller rootkit-infektion. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer som har gästattesteringstillägget installerat. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. | Granskning, inaktiverad | 2.0.0-preview |
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer | Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan | AuditIfNotExists, inaktiverad | 3.0.0 |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| API-slutpunkter i Azure API Management ska autentiseras | API-slutpunkter som publiceras i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. Läs mer om OWASP API Threat for Broken User Authentication här: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, inaktiverad | 1.0.1 |
| API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten | Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk för din organisation. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som kan ha lämnats aktiva av misstag. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.1 |
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure DDoS Protection ska vara aktiverat | DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. | AuditIfNotExists, inaktiverad | 3.0.1 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade postgreSQL-flexibla servrar | Granska flexibla PostgreSQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
| Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Rollinstanser för Cloud Services (utökad support) bör konfigureras på ett säkert sätt | Skydda dina rollinstanser i Cloud Service (utökad support) mot attacker genom att se till att de inte visas för några säkerhetsproblem i operativsystemet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Rollinstanser för Cloud Services (utökad support) bör ha en lösning för slutpunktsskydd installerad | Skydda dina rollinstanser i Cloud Services (utökad support) mot hot och sårbarheter genom att se till att en slutpunktsskyddslösning installeras på dem. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Rollinstanser för Cloud Services (utökad support) bör ha systemuppdateringar installerade | Skydda dina rollinstanser för Cloud Services (utökad support) genom att se till att de senaste säkerhetsuppdateringarna och kritiska uppdateringarna installeras på dem. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Advanced Threat Protection så att det är aktiverat i Azure Database for MySQL – flexibla servrar | Aktivera Advanced Threat Protection på din Azure-databas för MySQL flexibla servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Advanced Threat Protection så att det är aktiverat på Azure Database for PostgreSQL – flexibla servrar | Aktivera Advanced Threat Protection på din Azure-databas för Flexibla PostgreSQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Azure Monitor Agent | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-aktiverade SQL-servrar. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera Arc-aktiverade SQL-servrar för automatisk installation av Microsoft Defender för SQL | Konfigurera Windows Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL-agenten. Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL och DCR med en Log Analytics-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp, en datainsamlingsregel och Log Analytics-arbetsyta i samma region som datorn. | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL och DCR med en användardefinierad LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och en datainsamlingsregel i samma region som den användardefinierade Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera Arc-aktiverade SQL-servrar med regelassociation för datainsamling till Microsoft Defender för SQL DCR | Konfigurera associationen mellan Arc-aktiverade SQL-servrar och Microsoft Defender för SQL DCR. Om du tar bort den här associationen bryts identifieringen av säkerhetsrisker för dessa Arc-aktiverade SQL-servrar. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Arc-aktiverade SQL-servrar med datainsamlingsregelassociation till Microsoft Defender för SQL-användardefinierad DCR | Konfigurera associationen mellan Arc-aktiverade SQL-servrar och användardefinierad DCR för Microsoft Defender för SQL. Om du tar bort den här associationen bryts identifieringen av säkerhetsrisker för dessa Arc-aktiverade SQL-servrar. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Azure Defender för App Service till aktiverad | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för Azure SQL-databasen till aktiverad | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för relationsdatabaser med öppen källkod till aktiverad | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera att Azure Defender för Resource Manager ska aktiveras | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Azure Defender för servrar till aktiverad | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för SQL-servrar på datorer till aktiverad | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera grundläggande Microsoft Defender för Lagring som ska aktiveras (endast aktivitetsövervakning) | Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton. Den här principen aktiverar de grundläggande funktionerna i Defender för lagring (aktivitetsövervakning). Om du vill aktivera fullständigt skydd, som även omfattar genomsökning av skadlig kod vid uppladdning och identifiering av känsligt datahot, använder du den fullständiga aktiveringsprincipen: aka.ms/DefenderForStoragePolicy. Mer information om funktioner och fördelar med Defender för lagring finns i aka.ms/DefenderForStorage. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera datorer för att ta emot en provider för sårbarhetsbedömning | Azure Defender innehåller sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center. När du aktiverar den här principen distribuerar Azure Defender automatiskt qualys-sårbarhetsbedömningsprovidern till alla datorer som stöds och som inte redan har den installerad. | DeployIfNotExists, inaktiverad | 4.0.0 |
| Konfigurera Microsoft Defender CSPM-plan | Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender CSPM till aktiverat | Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet. | DeployIfNotExists, inaktiverad | 1.0.2 |
| Konfigurera Microsoft Defender för Azure Cosmos DB till aktiverad | Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för containrar-plan | Nya funktioner läggs kontinuerligt till i Defender for Containers-planen, vilket kan kräva användarens explicita aktivering. Använd den här principen för att se till att alla nya funktioner är aktiverade. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender for Containers som ska aktiveras | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera integreringsinställningar för Microsoft Defender för Endpoint med Microsoft Defender för molnet (WDATP_EXCLUDE_LINUX...) | Konfigurerar integreringsinställningarna för Microsoft Defender för Endpoint inom Microsoft Defender för molnet (kallas även WDATP_EXCLUDE_LINUX_...) för att aktivera automatisk etablering av MDE för Linux-servrar. WDATP-inställningen måste vara aktiverad för att den här inställningen ska tillämpas. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera integreringsinställningar för Microsoft Defender för Endpoint med Microsoft Defender för molnet (WDATP_UNIFIED_SOLUTION) | Konfigurerar integreringsinställningarna för Microsoft Defender för Endpoint inom Microsoft Defender för molnet (kallas även WDATP_UNIFIED_SOLUTION) för att aktivera automatisk etablering av MDE Unified Agent för Windows Server 2012R2 och 2016. WDATP-inställningen måste vara aktiverad för att den här inställningen ska tillämpas. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera integreringsinställningar för Microsoft Defender för Endpoint med Microsoft Defender för molnet (WDATP) | Konfigurerar integreringsinställningarna för Microsoft Defender för Endpoint inom Microsoft Defender för molnet (även kallat WDATP), för Windows-datorer med nednivå som registrerats på MDE via MMA och automatisk etablering av MDE på Windows Server 2019 , Windows Virtual Desktop och senare. Måste vara aktiverat för att de andra inställningarna (WDATP_UNIFIED osv.) ska fungera. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för Key Vault-plan | Microsoft Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Microsoft Defender för servrar-plan | Nya funktioner läggs kontinuerligt till i Defender för servrar, vilket kan kräva användarens explicita aktivering. Använd den här principen för att se till att alla nya funktioner är aktiverade. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera att Microsoft Defender för SQL ska aktiveras på Synapse-arbetsytor | Aktivera Microsoft Defender för SQL på dina Azure Synapse-arbetsytor för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja SQL-databaser. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera microsoft Defender för lagring (klassisk) som ska aktiveras | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | DeployIfNotExists, inaktiverad | 1.0.2 |
| Konfigurera att Microsoft Defender för Storage ska aktiveras | Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton. Den här principen aktiverar alla Defender for Storage-funktioner. Aktivitetsövervakning, skanning av skadlig kod och identifiering av känsligt datahot. Mer information om funktioner och fördelar med Defender för lagring finns i aka.ms/DefenderForStorage. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera virtuella SQL-datorer för att automatiskt installera Azure Monitor-agenten | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows SQL-datorer. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera virtuella SQL-datorer för automatisk installation av Microsoft Defender för SQL | Konfigurera virtuella Windows SQL-datorer för att automatiskt installera Microsoft Defender för SQL-tillägget. Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera virtuella SQL-datorer för att automatiskt installera Microsoft Defender för SQL och DCR med en Log Analytics-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp, en datainsamlingsregel och Log Analytics-arbetsyta i samma region som datorn. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera virtuella SQL-datorer för att automatiskt installera Microsoft Defender för SQL och DCR med en användardefinierad LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och en datainsamlingsregel i samma region som den användardefinierade Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera Arbetsytan Microsoft Defender för SQL Log Analytics | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och Log Analytics-arbetsyta i samma region som datorn. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Skapa och tilldela en inbyggd användartilldelad hanterad identitet | Skapa och tilldela en inbyggd användartilldelad hanterad identitet i stor skala till virtuella SQL-datorer. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.4.0 |
| Distribuera – Konfigurera regler för undertryckning för Azure Security Center-aviseringar | Förhindra Azure Security Center-aviseringar för att minska tröttheten på aviseringar genom att distribuera regler för undertryckning i hanteringsgruppen eller prenumerationen. | deployIfNotExists | 1.0.0 |
| Distribuera export till Event Hub som en betrodd tjänst för Microsoft Defender för molnet data | Aktivera export till Event Hub som en betrodd tjänst för Microsoft Defender för molnet data. Den här principen distribuerar en export till Event Hub som en betrodd tjänstkonfiguration med dina villkor och målhändelsehubben i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera export till Event Hub för Microsoft Defender för molnet data | Aktivera export till händelsehubben för Microsoft Defender för molnet data. Den här principen distribuerar en export till Event Hub-konfigurationen med dina villkor och målhändelsehubben i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 4.2.0 |
| Distribuera export till Log Analytics-arbetsytan för Microsoft Defender för molnet data | Aktivera export till Log Analytics-arbetsytan med Microsoft Defender för molnet data. Den här principen distribuerar en export till Log Analytics-arbetsytekonfigurationen med dina villkor och målarbetsytan i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 4.1.0 |
| Distribuera arbetsflödesautomation för Microsoft Defender för moln-aviseringar | Aktivera automatisering av Microsoft Defender för molnet aviseringar. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| Distribuera arbetsflödesautomation för Microsoft Defender för moln-rekommendationer | Aktivera automatisering av Microsoft Defender för molnet rekommendationer. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| Distribuera arbetsflödesautomation för Microsoft Defender för molnet regelefterlevnad | Aktivera automatisering av Microsoft Defender för molnet regelefterlevnad. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.1.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Aktivera Microsoft Defender för molnet i din prenumeration | Identifierar befintliga prenumerationer som inte övervakas av Microsoft Defender för molnet och skyddar dem med Defender för molnet kostnadsfria funktioner. Prenumerationer som redan övervakas anses vara kompatibla. Om du vill registrera nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 1.0.1 |
| Aktivera Automatisk etablering av Log Analytics-agenten i dina prenumerationer med anpassad arbetsyta. | Tillåt att Security Center automatiskt etablerar Log Analytics-agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med hjälp av en anpassad arbetsyta. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Aktivera automatisk etablering av Log Analytics-agenten i dina prenumerationer med standardarbetsyta. | Tillåt att Security Center automatiskt etablerar Log Analytics-agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med asc-standardarbetsytan. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Slutpunktsskydd ska installeras på dina datorer | Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Log Analytics-agenten bör installeras på dina rollinstanser för Cloud Services (utökad support) | Security Center samlar in data från dina rollinstanser för Cloud Services (utökad support) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning | Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Datorer bör ha hemliga resultat lösta | Granskar virtuella datorer för att identifiera om de innehåller hemliga resultat från lösningarna för hemlig genomsökning på dina virtuella datorer. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Defender CSPM bör vara aktiverat | Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för API:er ska vara aktiverat | Microsoft Defender för API:er ger ny identifiering, skydd, identifiering och svarstäckning för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för Azure Cosmos DB bör vara aktiverat | Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för SQL ska vara aktiverat för oskyddade Synapse-arbetsytor | Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för SQL-status bör skyddas för Arc-aktiverade SQL-servrar | Microsoft Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser, identifiera och klassificera känsliga data. När den är aktiverad anger skyddsstatusen att resursen övervakas aktivt. Även när Defender är aktiverat bör flera konfigurationsinställningar verifieras på agenten, datorn, arbetsytan och SQL-servern för att säkerställa aktivt skydd. | Granskning, inaktiverad | 1.0.1 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Konfigurera prenumerationer för övergång till en alternativ lösning för sårbarhetsbedömning | Microsoft Defender för molnet erbjuder sårbarhetsgenomsökning för dina datorer utan extra kostnad. Om du aktiverar den här principen sprids Defender för molnet automatiskt från den inbyggda Microsoft Defender-hantering av säkerhetsrisker lösningen till alla datorer som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Automatisk konfiguration av SQL Server-mål ska aktiveras för SQL-servrar på en datorplan | Se till att dina virtuella SQL-datorer och Arc-aktiverade SQL-servrar skyddas genom att se till att DEN SQL-riktade Azure Monitoring Agent har konfigurerats för att distribueras automatiskt. Detta är också nödvändigt om du tidigare har konfigurerat automatisk avetablering av Microsoft Monitoring Agent, eftersom komponenten håller på att bli inaktuell. Lära sig mer: https://aka.ms/SQLAMAMigration | AuditIfNotExists, inaktiverad | 1.0.0 |
| SQL-servrar på datorer bör ha sårbarhetsresultat lösta | SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Systemuppdateringar på vm-skalningsuppsättningar ska installeras | Granska om det finns några saknade systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningar för virtuella Windows- och Linux-datorer är säkra. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 4.0.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas | Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
Security Center – detaljerad prissättning
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera att Azure Defender för servrar ska inaktiveras för alla resurser (resursnivå) | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen inaktiverar Defender for Servers-planen för alla resurser (virtuella datorer, VMSS och ARC-datorer) i det valda omfånget (prenumeration eller resursgrupp). | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera att Azure Defender för servrar ska inaktiveras för resurser (resursnivå) med den valda taggen | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen inaktiverar Defender for Servers-planen för alla resurser (virtuella datorer, VMSS och ARC-datorer) som har det valda taggnamnet och taggvärdena. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för servrar som ska aktiveras ("P1"-underplan) för alla resurser (resursnivå) med den valda taggen | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen aktiverar Defender for Servers-planen (med underplanen P1) för alla resurser (virtuella datorer och ARC-datorer) som har det valda taggnamnet och taggvärdet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för servrar som ska aktiveras (med underplanen P1) för alla resurser (resursnivå) | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen aktiverar Defender for Servers-planen (med underplanen P1) för alla resurser (virtuella datorer och ARC-datorer) i det valda omfånget (prenumeration eller resursgrupp). | DeployIfNotExists, inaktiverad | 1.0.0 |
Service Bus
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla auktoriseringsregler utom RootManageSharedAccessKey bör tas bort från Service Bus-namnområdet | Service Bus-klienter bör inte använda en åtkomstprincip på namnområdesnivå som ger åtkomst till alla köer och ämnen i ett namnområde. Om du vill anpassa dig till säkerhetsmodellen med minst privilegier bör du skapa åtkomstprinciper på entitetsnivå för köer och ämnen för att endast ge åtkomst till den specifika entiteten | Granska, neka, inaktiverad | 1.0.1 |
| Azure Service Bus-namnområden ska ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Service Bus-namnområden uteslutande kräver Microsoft Entra-ID-identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-sb. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Service Bus-namnområden för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure ServiceBus-namnområden uteslutande kräver Microsoft Entra-ID-identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-sb. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera Service Bus-namnområden för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Service Bus-namnområden. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Service Bus-namnområden med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Service Bus-namnområden kan du minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Service Bus-namnområden bör inaktivera åtkomst till offentligt nätverk | Åtkomsten till det offentliga nätverket ska vara inaktiverad i Azure Service Bus. Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Granska, neka, inaktiverad | 1.1.0 |
| Service Bus-namnområden bör ha dubbel kryptering aktiverat | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Service Bus Premium-namnområden bör använda en kundhanterad nyckel för kryptering | Azure Service Bus stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Service Bus använder för att kryptera data i ditt namnområde. Observera att Service Bus endast stöder kryptering med kundhanterade nycklar för premiumnamnområden. | Granskning, inaktiverad | 1.0.0 |
Service Fabric
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
SignalR
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure SignalR Service bör inaktivera åtkomst till offentligt nätverk | För att förbättra säkerheten för Azure SignalR Service-resursen kontrollerar du att den inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera den offentliga nätverksåtkomstegenskapen enligt beskrivningen i https://aka.ms/asrs/networkacls. Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervallet och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. | Granska, neka, inaktiverad | 1.1.0 |
| Azure SignalR Service bör aktivera diagnostikloggar | Granska aktivering av diagnostikloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Azure SignalR Service endast kräver Azure Active Directory-identiteter för autentisering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda en Private Link-aktiverad SKU | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress på källan eller målet som skyddar dina resurser mot risker med offentliga dataläckage. Principen begränsar dig till Private Link-aktiverade SKU:er för Azure SignalR Service. Läs mer om privat länk på: https://aka.ms/asrs/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Konfigurera Azure SignalR Service för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att Azure SignalR Service uteslutande kräver Azure Active Directory-identiteter för autentisering. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera privata slutpunkter till Azure SignalR Service | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure SignalR Service-resurser kan du minska risken för dataläckage. Läs mer på https://aka.ms/asrs/privatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera privata DNS-zoner för privata slutpunkter som ansluter till Azure SignalR Service | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure SignalR Service-resursen. Läs mer på: https://aka.ms/asrs/privatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Ändra Azure SignalR Service-resurser för att inaktivera åtkomst till offentligt nätverk | För att förbättra säkerheten för Azure SignalR Service-resursen kontrollerar du att den inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera den offentliga nätverksåtkomstegenskapen enligt beskrivningen i https://aka.ms/asrs/networkacls. Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervallet och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. | Ändra, inaktiverad | 1.1.0 |
Site Recovery
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Konfigurera Azure Recovery Services-valv för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Recovery Services-valv. Läs mer på: https://aka.ms/privatednszone. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera privata slutpunkter i Azure Recovery Services-valv | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina site recovery-resurser i Recovery Services-valv kan du minska risken för dataläckage. Om du vill använda privata länkar måste den hanterade tjänstidentiteten tilldelas recovery services-valv. Läs mer om privata länkar på: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Recovery Services-valv bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar för Azure Site Recovery på: https://aka.ms/HybridScenarios-PrivateLink och https://aka.ms/AzureToAzure-PrivateLink. | Granskning, inaktiverad | 1.0.0-preview |
SQL
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Microsoft Entra-administratör bör etableras för MySQL-servrar | Granska etableringen av en Microsoft Entra-administratör för din MySQL-server för att aktivera Microsoft Entra-autentisering. Microsoft Entra-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.1.1 |
| En Microsoft Entra-administratör bör etableras för PostgreSQL-servrar | Granska etableringen av en Microsoft Entra-administratör för PostgreSQL-servern för att aktivera Microsoft Entra-autentisering. Microsoft Entra-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.1 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure MySQL – flexibel server bör ha Microsoft Entra Only Authentication aktiverat | Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Microsoft Entra-autentisering förbättras säkerheten genom att säkerställa att azure MySQL– flexibel server uteslutande kan nås av Microsoft Entra-identiteter. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure SQL Database ska köra TLS version 1.2 eller senare | Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. | Granska, inaktiverad, Neka | 2.0.0 |
| Azure SQL Database bör ha Microsoft Entra-endast autentisering aktiverat | Kräv att logiska Azure SQL-servrar använder Endast Microsoft Entra-autentisering. Den här principen blockerar inte att servrar skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL Database bör ha Microsoft Entra-endast autentisering aktiverat när du skapar | Kräv att logiska Azure SQL-servrar skapas med endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.2.0 |
| Azure SQL Managed Instance ska ha Microsoft Entra-endast autentisering aktiverat | Kräv att Azure SQL Managed Instance använder Endast Microsoft Entra-autentisering. Den här principen blockerar inte Azure SQL Managed-instanser från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Mer information om åtkomst till offentliga nätverk finns i https://aka.ms/mi-public-endpoint. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL Managed Instances bör ha Microsoft Entra-endast autentisering aktiverad när du skapar | Kräv att Azure SQL Managed Instance skapas med endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.2.0 |
| Konfigurera Advanced Threat Protection så att det är aktiverat på Azure Database for MariaDB-servrar | Aktivera Advanced Threat Protection på din Azure-databas på icke-Basic-nivå för MariaDB-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Advanced Threat Protection så att det är aktiverat på Azure Database for MySQL-servrar | Aktivera Advanced Threat Protection på din Azure-databas på icke-Basic-nivå för MySQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Advanced Threat Protection så att det är aktiverat på Azure Database for PostgreSQL-servrar | Aktivera Advanced Threat Protection på din Azure-databas på icke-Basic-nivå för PostgreSQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Att Azure Defender ska aktiveras på SQL-hanterade instanser | Aktivera Azure Defender på dina Azure SQL Managed Instances för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera Att Azure Defender ska aktiveras på SQL-servrar | Aktivera Azure Defender på dina Azure SQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DeployIfNotExists | 2.1.0 |
| Konfigurera diagnostikinställningar för Azure SQL-databasservrar till Log Analytics-arbetsytan | Aktiverar granskningsloggar för Azure SQL Database-servern och strömmar loggarna till en Log Analytics-arbetsyta när en SQL Server som saknar den här granskningen skapas eller uppdateras | DeployIfNotExists, inaktiverad | 1.0.2 |
| Konfigurera Azure SQL Server för att inaktivera åtkomst till offentligt nätverk | Om du inaktiverar den offentliga nätverksåtkomstegenskapen stängs den offentliga anslutningen så att Azure SQL Server endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomsten till det offentliga nätverket för alla databaser under Azure SQL Server. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure SQL Server för att aktivera privata slutpunktsanslutningar | En privat slutpunktsanslutning möjliggör privat anslutning till din Azure SQL Database via en privat IP-adress i ett virtuellt nätverk. Den här konfigurationen förbättrar din säkerhetsstatus och stöder Azure-nätverksverktyg och -scenarier. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera SQL-servrar så att granskning är aktiverat | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör SQL-servrarna ha granskning aktiverat. Detta krävs ibland för efterlevnad av regelstandarder. | DeployIfNotExists, inaktiverad | 3.0.0 |
| Konfigurera SQL-servrar så att granskning är aktiverat på Log Analytics-arbetsytan | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör SQL-servrarna ha granskning aktiverat. Om granskning inte är aktiverat konfigurerar den här principen granskningshändelser så att de flödar till den angivna Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Anslut begränsning ska aktiveras för PostgreSQL-databasservrar | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att Anslut begränsning aktiverat. Den här inställningen möjliggör tillfällig anslutningsbegränsning per IP-adress för för många ogiltiga inloggningsfel för lösenord. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Distribuera – Konfigurera diagnostikinställningar för SQL-databaser till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för SQL-databaser för att strömma resursloggar till en Log Analytics-arbetsyta när en SQL Database som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 4.0.0 |
| Distribuera Advanced Data Security på SQL-servrar | Den här principen aktiverar Advanced Data Security på SQL-servrar. Detta omfattar aktivering av hotidentifiering och sårbarhetsbedömning. Det skapar automatiskt ett lagringskonto i samma region och resursgrupp som SQL-servern för att lagra genomsökningsresultat med prefixet "sqlva". | DeployIfNotExists | 1.3.0 |
| Distribuera diagnostik Inställningar för Azure SQL Database till Event Hub | Distribuerar diagnostikinställningarna för Azure SQL Database för att strömma till en regional händelsehubb på valfri Azure SQL Database som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists | 1.2.0 |
| Distribuera transparent datakryptering i SQL DB | Möjliggör transparent datakryptering på SQL-databaser | DeployIfNotExists, inaktiverad | 2.2.0 |
| Frånkopplingar ska loggas för PostgreSQL-databasservrar. | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverat. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Infrastrukturkryptering ska vara aktiverat för Azure Database for MySQL-servrar | Aktivera infrastrukturkryptering för Azure Database for MySQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL-servrar | Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar | Granska, neka, inaktiverad | 1.0.0 |
| Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Loggvaraktighet ska aktiveras för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_duration inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
| MariaDB-servern bör använda en tjänstslutpunkt för virtuellt nätverk | Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett specifikt undernät till Azure Database for MariaDB samtidigt som trafiken hålls inom Azure-gränsen. Den här principen ger ett sätt att granska om Azure Database for MariaDB har tjänstslutpunkten för virtuellt nätverk som används. | AuditIfNotExists, inaktiverad | 1.0.2 |
| MySQL-servern bör använda en tjänstslutpunkt för virtuellt nätverk | Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett specifikt undernät till Azure Database for MySQL samtidigt som trafiken hålls inom Azure-gränsen. Den här principen ger ett sätt att granska om Azure Database for MySQL har tjänstslutpunkten för virtuella nätverk som används. | AuditIfNotExists, inaktiverad | 1.0.2 |
| MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, inaktiverad | 1.0.4 |
| PostgreSQL-servern bör använda en tjänstslutpunkt för virtuellt nätverk | Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett specifikt undernät till Azure Database for PostgreSQL samtidigt som trafiken hålls inom Azure-gränsen. Den här principen är ett sätt att granska om Azure Database for PostgreSQL har tjänstslutpunkten för virtuella nätverk som används. | AuditIfNotExists, inaktiverad | 1.0.2 |
| PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Privat slutpunkt ska vara aktiverad för MariaDB-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för MySQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 3.0.1 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| SQL-granskningsinställningar bör ha åtgärdsgrupper konfigurerade för att samla in kritiska aktiviteter | Egenskapen AuditActionsAndGroups bör innehålla minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP för att säkerställa en grundlig granskningsloggning | AuditIfNotExists, inaktiverad | 1.0.0 |
| SQL Database bör undvika att använda GRS-säkerhetskopieringsredundans | Databaser bör undvika att använda den geo-redundanta standardlagringen för säkerhetskopior, om regler för datahemvist kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant lagring av säkerhetskopior via T-SQL. | Neka, inaktiverad | 2.0.0 |
| SQL Managed Instance bör ha den lägsta TLS-versionen av 1.2 | Om du ställer in minimal TLS-version på 1.2 förbättras säkerheten genom att se till att din SQL Managed Instance endast kan nås från klienter med TLS 1.2. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. | Granskning, inaktiverad | 1.0.1 |
| SQL Managed Instances bör undvika att använda GRS-säkerhetskopieringsredundans | Hanterade instanser bör undvika att använda den geo-redundanta standardlagringen för säkerhetskopior, om regler för datahemvist kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant lagring av säkerhetskopior via T-SQL. | Neka, inaktiverad | 2.0.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 3.0.0 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Brandväggsregeln för virtuellt nätverk i Azure SQL Database ska vara aktiverad för att tillåta trafik från det angivna undernätet | Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett specifikt undernät till Azure SQL Database samtidigt som trafiken hålls inom Azure-gränsen. | AuditIfNotExists | 1.0.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
SQL-hanterad instans
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kundhanterad nyckelkryptering måste användas som en del av CMK-kryptering för Arc SQL-hanterade instanser. | Som en del av CMK-kryptering måste kundhanterad nyckelkryptering användas. Läs mer på https://aka.ms/EnableTDEArcSQLMI. | Granskning, inaktiverad | 1.0.0 |
| TLS-protokoll 1.2 måste användas för Arc SQL-hanterade instanser. | Som en del av nätverksinställningarna rekommenderar Microsoft att endast TLS 1.2 tillåts för TLS-protokoll i SQL-servrar. Läs mer om nätverksinställningar för SQL Server på https://aka.ms/TlsSettingsSQLServer. | Granskning, inaktiverad | 1.0.0 |
| transparent datakryptering måste vara aktiverat för Arc SQL-hanterade instanser. | Aktivera transparent datakryptering (TDE) i vila på en Azure Arc-aktiverad SQL Managed Instance. Läs mer på https://aka.ms/EnableTDEArcSQLMI. | Granskning, inaktiverad | 1.0.0 |
SQL Server
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Aktivera systemtilldelad identitet till en virtuell SQL-dator | Aktivera systemtilldelad identitet i stor skala till virtuella SQL-datorer. Du måste tilldela den här principen på prenumerationsnivå. Tilldelning på resursgruppsnivå fungerar inte som förväntat. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| Konfigurera Arc-aktiverade servrar med SQL Server-tillägget installerat för att aktivera eller inaktivera utvärdering av SQL-metodtips. | Aktivera eller inaktivera utvärdering av SQL-metodtips på SQL-serverinstanserna på dina Arc-aktiverade servrar för att utvärdera metodtips. Läs mer på https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Prenumerera på berättigade Arc-aktiverade SQL Servers-instanser till Utökad säkerhet Uppdateringar. | Prenumerera på berättigade Arc-aktiverade SQL Servers-instanser med licenstyp inställd på Betald eller PAYG till Utökad säkerhet Uppdateringar. Mer information om utökade säkerhetsuppdateringar https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, inaktiverad | 1.0.0 |
Stack HCI
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Stack HCI-servrar bör ha konsekvent framtvingade principer för programkontroll | Tillämpa minst Microsoft WDAC-basprincipen i framtvingat läge på alla Azure Stack HCI-servrar. Tillämpade WDAC-principer (Windows Defender Application Control) måste vara konsekventa mellan servrar i samma kluster. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Förhandsversion]: Azure Stack HCI-servrar bör uppfylla kraven för säkra kärnor | Se till att alla Azure Stack HCI-servrar uppfyller kraven för skyddad kärna. Så här aktiverar du serverkraven för säkra kärnor: 1. På sidan Azure Stack HCI-kluster går du till Administrationscenter för Windows och väljer Anslut. 2. Gå till säkerhetstillägget och välj Secured-core. 3. Välj valfri inställning som inte är aktiverad och klicka på Aktivera. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Förhandsversion]: Azure Stack HCI-system ska ha krypterade volymer | Använd BitLocker för att kryptera operativsystemet och datavolymerna i Azure Stack HCI-system. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Förhandsversion]: Värd- och VM-nätverk bör skyddas på Azure Stack HCI-system | Skydda data i Azure Stack HCI-värdnätverket och på nätverksanslutningar för virtuella datorer. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
Lagring
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure NetApp Files SMB-volymer bör använda SMB3-kryptering | Tillåt inte att SMB-volymer skapas utan SMB3-kryptering för att säkerställa dataintegritet och datasekretess. | Granska, neka, inaktiverad | 1.0.0 |
| Azure NetApp Files-volymer av typen NFSv4.1 bör använda Kerberos-datakryptering | Tillåt endast användning av Kerberos-sekretess (5p) säkerhetsläge för att säkerställa att data krypteras. | Granska, neka, inaktiverad | 1.0.0 |
| Azure NetApp Files-volymer av typen NFSv4.1 bör använda Kerberos-dataintegritet eller datasekretess | Kontrollera att kerberos-integritet (krb5i) eller Kerberos-sekretess (krb5p) har valts för att säkerställa dataintegritet och datasekretess. | Granska, neka, inaktiverad | 1.0.0 |
| Azure NetApp Files-volymer bör inte använda protokolltypen NFSv3 | Tillåt inte användning av NFSv3-protokolltyp för att förhindra oskyddad åtkomst till volymer. NFSv4.1 med Kerberos-protokollet bör användas för att få åtkomst till NFS-volymer för att säkerställa dataintegritet och kryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för blob groupID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat blob groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för blob_secondary groupID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat blob_secondary groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för dfs groupID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat dfs groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för dfs_secondary groupID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat dfs_secondary groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för filgrupp-ID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat filgrupp-ID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för kögrupp-ID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat slutpunkt för kögrupp-ID. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för queue_secondary groupID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat queue_secondary groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för tabellgrupp-ID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat tabell groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för table_secondary groupID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat table_secondary groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för webbgrupp-ID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat webbgruppID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera ett privat DNS-zon-ID för web_secondary groupID | Konfigurera en privat DNS-zongrupp för att åsidosätta DNS-matchningen för en privat web_secondary groupID-slutpunkt. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure File Sync för att använda privata DNS-zoner | För att få åtkomst till de privata slutpunkterna för storage sync service-resursgränssnitt från en registrerad server måste du konfigurera DNS för att matcha rätt namn till den privata slutpunktens privata IP-adresser. Den här principen skapar nödvändiga Azure Privat DNS Zone- och A-poster för gränssnitten för dina privata slutpunkter för Storage Sync Service. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Azure File Sync med privata slutpunkter | En privat slutpunkt distribueras för den angivna Storage Sync Service-resursen. På så sätt kan du adressera lagringssynkroniseringstjänstens resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Förekomsten av en eller flera privata slutpunkter på egen hand inaktiverar inte den offentliga slutpunkten. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera diagnostikinställningar för Blob Services till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Blob Services för att strömma resursloggar till en Log Analytics-arbetsyta när en blobtjänst som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 4.0.0 |
| Konfigurera diagnostikinställningar för File Services till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för File Services för att strömma resursloggar till en Log Analytics-arbetsyta när en filtjänst som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 4.0.0 |
| Konfigurera diagnostikinställningar för Queue Services till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Queue Services för att strömma resursloggar till en Log Analytics-arbetsyta när en kötjänst som saknar de här diagnostikinställningarna skapas eller uppdateras. Obs! Den här principen utlöses inte när lagringskontot skapas och kräver att en reparationsaktivitet skapas för att kunna uppdateras för kontot. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 4.0.1 |
| Konfigurera diagnostikinställningar för lagringskonton till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Lagringskonton för att strömma resursloggar till en Log Analytics-arbetsyta när lagringskonton som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 4.0.0 |
| Konfigurera diagnostikinställningar för Table Services till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Table Services för att strömma resursloggar till en Log Analytics-arbetsyta när en tabelltjänst som saknar de här diagnostikinställningarna skapas eller uppdateras. Obs! Den här principen utlöses inte när lagringskontot skapas och kräver att en reparationsaktivitet skapas för att kunna uppdateras för kontot. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 4.0.1 |
| Konfigurera säker överföring av data på ett lagringskonto | Säker överföring är ett alternativ som tvingar lagringskontot att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Ändra, inaktiverad | 1.0.0 |
| Konfigurera lagringskonto för att använda en privat länkanslutning | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till ditt lagringskonto kan du minska risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera lagringskonton för att inaktivera åtkomst till offentligt nätverk | För att förbättra säkerheten för lagringskonton kontrollerar du att de inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera den offentliga nätverksåtkomstegenskapen enligt beskrivningen i https://aka.ms/storageaccountpublicnetworkaccess. Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervallet och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera offentlig åtkomst för lagringskontot så att den inte tillåts | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera lagringskontot för att aktivera blobversionshantering | Du kan aktivera Blob Storage-versionshantering för att automatiskt underhålla tidigare versioner av ett objekt. När blobversionshantering är aktiverat kan du komma åt tidigare versioner av en blob för att återställa dina data om de ändras eller tas bort. | Granska, neka, inaktiverad | 1.0.0 |
| Distribuera Defender för lagring (klassisk) på lagringskonton | Den här principen aktiverar Defender för lagring (klassisk) på lagringskonton. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Geo-redundant lagring ska vara aktiverat för lagringskonton | Använda geo-redundans för att skapa program med hög tillgänglighet | Granskning, inaktiverad | 1.0.0 |
| HPC Cache-konton bör använda kundhanterad nyckel för kryptering | Hantera kryptering i resten av Azure HPC Cache med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | Granska, inaktiverad, Neka | 2.0.0 |
| Ändra – Konfigurera Azure File Sync för att inaktivera åtkomst till offentligt nätverk | Azure File Syncs internettillgängliga offentliga slutpunkt inaktiveras av din organisationsprincip. Du kan fortfarande komma åt Tjänsten för synkronisering av lagring via dess privata slutpunkter. | Ändra, inaktiverad | 1.0.0 |
| Ändra – Konfigurera lagringskontot för att aktivera blobversionshantering | Du kan aktivera Blob Storage-versionshantering för att automatiskt underhålla tidigare versioner av ett objekt. När blobversionshantering är aktiverat kan du komma åt tidigare versioner av en blob för att återställa dina data om de ändras eller tas bort. Observera att befintliga lagringskonton inte ändras för att aktivera versionshantering av Blob Storage. Endast nyligen skapade lagringskonton har Blob Storage-versionshantering aktiverat | Ändra, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för Azure File Sync | Om du inaktiverar den offentliga slutpunkten kan du begränsa åtkomsten till din Storage Sync Service-resurs till begäranden som är avsedda för godkända privata slutpunkter i organisationens nätverk. Det finns inget som är osäkert när det gäller att tillåta begäranden till den offentliga slutpunkten, men du kanske vill inaktivera det för att uppfylla regel-, juridiska eller organisatoriska principkrav. Du kan inaktivera den offentliga slutpunkten för en lagringssynkroniseringstjänst genom att ange den inkommandeTrafficPolicy för resursen till AllowVirtualNetworksOnly. | Granska, neka, inaktiverad | 1.0.0 |
| Queue Storage bör använda kundhanterad nyckel för kryptering | Skydda din kölagring med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Krypteringsomfång för lagringskonto bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av lagringskontots krypteringsomfång. Med kundhanterade nycklar kan data krypteras med en Nyckelvalvsnyckel i Azure som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om krypteringsomfång för lagringskonton på https://aka.ms/encryption-scopes-overview. | Granska, neka, inaktiverad | 1.0.0 |
| Krypteringsomfång för lagringskonton bör använda dubbel kryptering för vilande data | Aktivera infrastrukturkryptering för kryptering i resten av lagringskontots krypteringsomfång för ökad säkerhet. Infrastrukturkryptering säkerställer att dina data krypteras två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskontonycklar bör inte ha upphört att gälla | Se till att användarkontonycklarna inte har upphört att gälla när nyckelns förfalloprincip har angetts för att förbättra säkerheten för kontonycklar genom att vidta åtgärder när nycklarna har upphört att gälla. | Granska, neka, inaktiverad | 3.0.0 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsas av tillåtna SKU:er | Begränsa den uppsättning lagringskonto-SKU:er som din organisation kan distribuera. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör inaktivera åtkomst till offentligt nätverk | För att förbättra säkerheten för lagringskonton kontrollerar du att de inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera den offentliga nätverksåtkomstegenskapen enligt beskrivningen i https://aka.ms/storageaccountpublicnetworkaccess. Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervallet och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton ska ha sas-principer (signatur för delad åtkomst) konfigurerade | Se till att lagringskonton har en sas-förfalloprincip (signatur för delad åtkomst) aktiverad. Användare använder en SAS för att delegera åtkomst till resurser i Azure Storage-kontot. Och SAS-förfalloprincipen rekommenderar övre förfallogräns när en användare skapar en SAS-token. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör ha den angivna lägsta TLS-versionen | Konfigurera en lägsta TLS-version för säker kommunikation mellan klientprogrammet och lagringskontot. För att minimera säkerhetsrisken är den rekommenderade lägsta TLS-versionen den senaste versionen, som för närvarande är TLS 1.2. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör förhindra replikering av objekt mellan klientorganisationer | Granska begränsning av objektreplikering för ditt lagringskonto. Som standard kan användare konfigurera objektreplikering med ett källlagringskonto i en Azure AD-klientorganisation och ett målkonto i en annan klientorganisation. Det är ett säkerhetsproblem eftersom kundens data kan replikeras till ett lagringskonto som ägs av kunden. Genom att ange allowCrossTenantReplication till false kan objektreplikering endast konfigureras om både käll- och målkonton finns i samma Azure AD-klientorganisation. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör förhindra åtkomst till delad nyckel | Granska krav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory-autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Med de här två typerna av auktorisering ger Azure AD överlägsen säkerhet och enkel användning över delad nyckel och rekommenderas av Microsoft. | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Table Storage bör använda kundhanterad nyckel för kryptering | Skydda din tabelllagring med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granska, neka, inaktiverad | 1.0.0 |
Stream Analytics
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Stream Analytics-jobb bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar när du på ett säkert sätt vill lagra metadata och privata datatillgångar för dina Stream Analytics-jobb i ditt lagringskonto. Detta ger dig total kontroll över hur dina Stream Analytics-data krypteras. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Stream Analytics-jobbet bör ansluta till betrodda indata och utdata | Kontrollera att Stream Analytics-jobb inte har godtyckliga in- eller utdataanslutningar som inte har definierats i listan över tillåtna. Detta kontrollerar att Stream Analytics-jobb inte exfilterar data genom att ansluta till godtyckliga mottagare utanför organisationen. | Neka, Inaktiverad, Granskning | 1.1.0 |
| Stream Analytics-jobbet bör använda hanterad identitet för att autentisera slutpunkter | Se till att Stream Analytics-jobb endast ansluter till slutpunkter med hanterad identitetsautentisering. | Neka, Inaktiverad, Granskning | 1.0.0 |
Synaps
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granskning på Synapse-arbetsytan ska vara aktiverad | Granskning på Synapse-arbetsytan bör aktiveras för att spåra databasaktiviteter i alla databaser i de dedikerade SQL-poolerna och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Dedikerade SQL-pooler i Azure Synapse Analytics bör aktivera kryptering | Aktivera transparent datakryptering för dedikerade SQL-pooler i Azure Synapse Analytics för att skydda vilande data och uppfylla efterlevnadskraven. Observera att aktivering av transparent datakryptering för poolen kan påverka frågeprestanda. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Synapse Workspace SQL Server ska köra TLS version 1.2 eller senare | Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure Synapse-arbetsytas SQL-server endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. | Granska, neka, inaktiverad | 1.1.0 |
| Azure Synapse-arbetsytor bör endast tillåta utgående datatrafik till godkända mål | Öka säkerheten för din Synapse-arbetsyta genom att endast tillåta utgående datatrafik till godkända mål. Detta hjälper till att förhindra dataexfiltrering genom att verifiera målet innan data skickas. | Granska, inaktiverad, Neka | 1.0.0 |
| Azure Synapse-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att synapse-arbetsytan inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för dina Synapse-arbetsytor. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att styra krypteringen i resten av de data som lagras på Azure Synapse-arbetsytor. Kundhanterade nycklar levererar dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardkryptering med tjänsthanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Konfigurera Azure Synapse Workspace Dedicated SQL minsta TLS-version | Kunder kan höja eller sänka den lägsta TLS-versionen med hjälp av API:et för både nya Synapse-arbetsytor eller befintliga arbetsytor. Användare som behöver använda en lägre klientversion på arbetsytorna kan ansluta medan användare som har säkerhetskrav kan höja lägsta TLS-version. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera Azure Synapse-arbetsytor för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för synapse-arbetsytan så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Synapse-arbetsytor för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Synapse-arbetsytan. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera Azure Synapse-arbetsytor med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytor kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Synapse-arbetsytor så att granskning är aktiverat | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör Synapse-arbetsytor ha granskning aktiverat. Detta krävs ibland för efterlevnad av regelstandarder. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera Synapse-arbetsytor så att granskning är aktiverat på Log Analytics-arbetsytan | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör Synapse-arbetsytor ha granskning aktiverat. Om granskning inte är aktiverat konfigurerar den här principen granskningshändelser så att de flödar till den angivna Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Synapse-arbetsytor så att de endast använder Microsoft Entra-identiteter för autentisering | Kräv och konfigurera om Synapse-arbetsytor för att använda Endast Microsoft Entra-autentisering. Den här principen blockerar inte arbetsytor från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras och återaktiver Endast Microsoft Entra-autentisering på resurser efter att de har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Synapse-arbetsytor så att de endast använder Microsoft Entra-identiteter för autentisering när arbetsytan skapas | Kräv och konfigurera om Synapse-arbetsytor som ska skapas med Endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Ändra, inaktiverad | 1.2.0 |
| IP-brandväggsregler på Azure Synapse-arbetsytor bör tas bort | Om du tar bort alla IP-brandväggsregler förbättras säkerheten genom att säkerställa att din Azure Synapse-arbetsyta endast kan nås från en privat slutpunkt. Den här konfigurationen granskar skapandet av brandväggsregler som tillåter åtkomst till offentliga nätverk på arbetsytan. | Granskning, inaktiverad | 1.0.0 |
| Det virtuella nätverket för hanterade arbetsytor på Azure Synapse-arbetsytor ska vara aktiverat | Om du aktiverar ett virtuellt nätverk för hanterade arbetsytor ser du till att arbetsytan är nätverksisolerad från andra arbetsytor. Dataintegrering och Spark-resurser som distribueras i det här virtuella nätverket ger också isolering på användarnivå för Spark-aktiviteter. | Granska, neka, inaktiverad | 1.0.0 |
| Synapse-hanterade privata slutpunkter bör endast ansluta till resurser i godkända Azure Active Directory-klienter | Skydda din Synapse-arbetsyta genom att endast tillåta anslutningar till resurser i godkända Azure Active Directory-klienter (Azure AD). Godkända Azure AD-klienter kan definieras under principtilldelningen. | Granska, inaktiverad, Neka | 1.0.0 |
| Synapse-arbetsytans granskningsinställningar bör ha åtgärdsgrupper konfigurerade för att samla in kritiska aktiviteter | För att säkerställa att granskningsloggarna är så noggranna som möjligt bör egenskapen AuditActionsAndGroups innehålla alla relevanta grupper. Vi rekommenderar att du lägger till minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP och BATCH_COMPLETED_GROUP. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Synapse-arbetsytor ska ha Microsoft Entra-endast autentisering aktiverat | Kräv att Synapse-arbetsytor använder Endast Microsoft Entra-autentisering. Den här principen blockerar inte arbetsytor från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Granska, neka, inaktiverad | 1.0.0 |
| Synapse-arbetsytor bör endast använda Microsoft Entra-identiteter för autentisering när arbetsytan skapas | Kräv att Synapse-arbetsytor skapas med endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Granska, neka, inaktiverad | 1.2.0 |
| Synapse-arbetsytor med SQL-granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för din Synapse-arbetsytas SQL-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Sårbarhetsbedömning ska aktiveras på dina Synapse-arbetsytor | Identifiera, spåra och åtgärda potentiella säkerhetsrisker genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på dina Synapse-arbetsytor. | AuditIfNotExists, inaktiverad | 1.0.0 |
Systemprincip
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillåtna resursdistributionsregioner | Den här principen har en uppsättning bästa tillgängliga regioner där din prenumeration kan distribuera resurser. Målet med den här principen är att säkerställa att din prenumeration har fullständig åtkomst till Azure-tjänster med optimala prestanda. Kontakta supporten om du behöver ytterligare eller olika regioner. | avvisa | 1.0.0 |
Taggar
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till en tagg i resursgrupper | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Lägg till en tagg i resurser | Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. Taggar för resursgrupper ändras inte. | modify | 1.0.0 |
| Lägga till en tagg i prenumerationer | Lägger till den angivna taggen och värdet i prenumerationer via en reparationsaktivitet. Om taggen finns med ett annat värde kommer den inte att ändras. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Lägg till eller ersätt en tagg i resursgrupper | Lägger till eller ersätter den angivna taggen och värdet när en resursgrupp skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Lägg till eller ersätt en tagg i resurser | Lägger till eller ersätter den angivna taggen och värdet när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Taggar för resursgrupper ändras inte. | modify | 1.0.0 |
| Lägga till eller ersätta en tagg i prenumerationer | Lägger till eller ersätter den angivna taggen och värdet för prenumerationer via en reparationsaktivitet. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Lägg till en tagg och dess värde från resursgruppen | Lägger till den angivna taggen och värdet från resursgruppen när en resurs som saknar taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapats innan principen tillämpades förrän resurserna har ändrats. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.0 |
| Lägg till en tagg och dess värde i resursgrupperna | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resursgrupper som skapats innan principen tillämpades förrän resursgrupperna har ändrats. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.0 |
| Lägg till en tagg och dess värde till resurserna | Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapats innan principen tillämpades förrän resurserna har ändrats. Avser inte resursgrupper. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.1 |
| Ärv en tagg från resursgruppen | Lägger till eller ersätter den angivna taggen och värdet från den överordnade resursgruppen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Ärv en tagg från resursgruppen om den saknas | Lägger till den angivna taggen och värdet från den överordnade resursgruppen när en resurs som saknar taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Ärv en tagg från prenumerationen | Lägger till eller ersätter den angivna taggen och värdet i den överordnade prenumerationen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Ärv en tagg från prenumerationen om den saknas | Lägger till den angivna taggen och värdet från den innehållna prenumerationen när en resurs som saknar taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Kräv en tagg och dess värde i resursgrupper | Lägger till en nödvändig tagg och dess värde i resursgrupper. | avvisa | 1.0.0 |
| Kräv en tagg och dess värde i resurser | Lägger till en nödvändig tagg och dess värde. Avser inte resursgrupper. | avvisa | 1.0.1 |
| Kräv en tagg i resursgrupper | Framtvingar förekomst av en tagg i resursgrupper. | avvisa | 1.0.0 |
| Kräv en tagg i resurser | Framtvingar förekomst av en tagg. Avser inte resursgrupper. | avvisa | 1.0.1 |
| Kräver att resurser inte har någon specifik tagg. | Nekar skapandet av en resurs som innehåller den angivna taggen. Avser inte resursgrupper. | Granska, neka, inaktiverad | 2.0.0 |
Betrodd start
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Diskar och OS-avbildningar bör ha stöd för TrustedLaunch | TrustedLaunch förbättrar säkerheten för en virtuell dator som kräver OS Disk & OS-avbildning för att stödja den (Gen 2). Mer information om TrustedLaunch finns i https://aka.ms/trustedlaunch | Granskning, inaktiverad | 1.0.0 |
| Den virtuella datorn bör ha TrustedLaunch aktiverat | Aktivera TrustedLaunch på virtuell dator för förbättrad säkerhet, använd VM SKU (Gen 2) som stöder TrustedLaunch. Mer information om TrustedLaunch finns i https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Granskning, inaktiverad | 1.0.0 |
VirtualEnclaves
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera lagringskonton för att begränsa nätverksåtkomst via nätverks-ACL kringgå konfigurationen endast. | För att förbättra säkerheten för lagringskonton aktiverar du endast åtkomst via förbikoppling av nätverks-ACL. Den här principen ska användas i kombination med en privat slutpunkt för åtkomst till lagringskontot. | Ändra, inaktiverad | 1.0.0 |
| Tillåt inte att resurstyper skapas utanför listan över tillåtna | Den här principen förhindrar distribution av resurstyper utanför de uttryckligen tillåtna typerna för att upprätthålla säkerheten i en virtuell enklav. https://aka.ms/VirtualEnclaves | Granska, neka, inaktiverad | 1.0.0 |
| Tillåt inte skapande av angivna resurstyper eller typer under specifika leverantörer | Resursprovidrar och typer som anges via parameterlistan får inte skapas utan uttryckligt godkännande från säkerhetsteamet. Om ett undantag beviljas för principtilldelningen kan resursen utnyttjas i enklaven. https://aka.ms/VirtualEnclaves | Granska, neka, inaktiverad | 1.0.0 |
| Nätverksgränssnitt ska anslutas till ett godkänt undernät för det godkända virtuella nätverket | Den här principen blockerar nätverksgränssnitt från att ansluta till ett virtuellt nätverk eller undernät som inte har godkänts. https://aka.ms/VirtualEnclaves | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör endast begränsa nätverksåtkomsten via nätverks-ACL:ns förbikopplingskonfiguration. | För att förbättra säkerheten för lagringskonton aktiverar du endast åtkomst via förbikoppling av nätverks-ACL. Den här principen ska användas i kombination med en privat slutpunkt för åtkomst till lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
Bildgenerering för virtuell dator
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Mallar för VM Image Builder ska använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
Web PubSub
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Web PubSub Service bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att azure Web PubSub-tjänsten inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av Azure Web PubSub-tjänsten. Läs mer på: https://aka.ms/awps/networkacls. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör aktivera diagnostikloggar | Granska aktivering av diagnostikloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Web PubSub Service uteslutande kräver Azure Active Directory-identiteter för autentisering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör använda en SKU som stöder privat länk | Med SKU som stöds kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub-tjänsten kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att Azure Web PubSub Service uteslutande kräver Azure Active Directory-identiteter för autentisering. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Azure Web PubSub-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/awps/networkacls. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Web PubSub-tjänsten. Läs mer på: https://aka.ms/awps/privatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Web PubSub-tjänsten kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.