Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan är ett index över Azure Policy inbyggda principdefinitioner relaterade till Microsoft Defender för molnet. Följande grupper av principdefinitioner är tillgängliga:
- Gruppen initiatives visar Azure Policy initiativdefinitioner i kategorin "Defender för molnet".
- Gruppen default visar alla Azure Policy definitioner som ingår i Defender för molnet standardinitiativ, Microsoft cloud security benchmark. Det här Microsoft, allmänt respekterade riktmärket bygger på kontroller från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST) med fokus på molncentrerad säkerhet.
- Gruppen category visar alla Azure Policy definitioner i kategorin "Defender för molnet".
Mer information om säkerhetsprinciper finns i Arbeta med säkerhetsprinciper. Andra Azure Policy inbyggda för andra tjänster finns i Azure Policy inbyggda definitioner.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure portalen. Använd länken i kolumnen Version för att visa källan på lagringsplatsen Azure Policy GitHub.
Microsoft Defender för molnet initiativ
Mer information om de inbyggda initiativ som övervakas av Defender för molnet finns i följande tabell:
| Name | Description | Policies | Version |
|---|---|---|---|
| [Preview]: Distribuera Microsoft Defender för Endpoint agent | Distribuera Microsoft Defender för Endpoint agent på tillämpliga avbildningar. | 4 | 1.0.0-preview |
| [Preview]: Microsoft cloud security benchmark v2 | Initiativet Microsoft benchmark för molnsäkerhet representerar de principer och kontroller som implementerar säkerhetsrekommendationer som definierats i Microsoft benchmark för molnsäkerhet, se https://aka.ms/azsecbm. Detta fungerar också som Microsoft Defender för molnet standardprincipinitiativ. Du kan tilldela det här initiativet direkt eller hantera dess principer och efterlevnadsresultat inom Microsoft Defender för molnet. | 414 | 1.3.0-preview |
| Konfigurera Advanced Threat Protection aktiveras på relationsdatabaser med öppen källkod | Aktivera Advanced Threat Protection i relationsdatabaser på icke-Basic-nivå med öppen källkod för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Se https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Konfigurera Azure Defender aktiveras på SQL-servrar och SQL Managed Instances | Aktivera Azure Defender på dina SQL-servrar och SQL Managed Instances för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | 3 | 3.0.0 |
| Konfigurera Microsoft Defender för molnet planer | Microsoft Defender för molnet ger omfattande, molnbaserat skydd från utveckling till körning i miljöer med flera moln. Använd principinitiativet för att konfigurera Defender för molnet planer och tillägg som ska aktiveras i valda omfång. | 12 | 1.1.0 |
| Konfigurera Microsoft Defender för att databaser ska aktiveras | Konfigurera Microsoft Defender för databaser för att skydda dina Azure SQL databaser, hanterade instanser, relationsdatabaser med öppen källkod och Cosmos DB. | 4 | 1.0.0 |
| Konfigurera flera Microsoft Defender för Endpoint integreringsinställningar med Microsoft Defender för molnet | Konfigurera integreringsinställningarna för flera Microsoft Defender för Endpoint med Microsoft Defender för molnet (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION osv.). Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | 3 | 1.0.0 |
| Konfigurera virtuella SQL-datorer och Arc-aktiverade SQL-servrar för att installera Microsoft Defender-tillägget | Microsoft Defender för SQL samlar in händelser från agenterna och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | 3 | 1.0.0 |
| Konfigurera virtuella SQL-datorer och Arc-aktiverade SQL-servrar för att installera Microsoft Defender för SQL och AMA med en LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenterna och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapar en resursgrupp och en datainsamlingsregel och Log Analytics arbetsyta i samma region som datorn. | 9 | 1.3.0 |
| Konfigurera virtuella SQL-datorer och Arc-aktiverade SQL-servrar för att installera Microsoft Defender för SQL och AMA med en användardefinierad LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenterna och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapar en resursgrupp och en datainsamlingsregel i samma region som den användardefinierade Log Analytics arbetsytan. | 8 | 1.2.0 |
| Microsoft cloud security benchmark | Initiativet Microsoft benchmark för molnsäkerhet representerar de principer och kontroller som implementerar säkerhetsrekommendationer som definierats i Microsoft benchmark för molnsäkerhet, se https://aka.ms/azsecbm. Detta fungerar också som Microsoft Defender för molnet standardprincipinitiativ. Du kan tilldela det här initiativet direkt eller hantera dess principer och efterlevnadsresultat inom Microsoft Defender för molnet. | 223 | 57.56.0 |
Defender för molnet standardinitiativ (Microsoft benchmark för molnsäkerhet)
Mer information om de inbyggda principer som övervakas av Defender för molnet finns i följande tabell:
| Policynamn (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, avaktiverad | 3.0.0-preview |
| [Förhandsversion]: Azure Arc aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, avaktiverad | 6.0.0-preview |
| [Preview]: Azure Flexibel PostgreSQL-server bör ha Microsoft Entra Endast autentisering aktiverat | Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Microsoft Entra autentisering förbättras säkerheten genom att se till att Azure flexibel PostgreSQL-server endast kan nås av Microsoft Entra identiteter. | Granskning, avaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Stack HCI-servrar bör ha konsekvent framtvingade principer för programkontroll | Använd minst Microsoft WDAC-basprincipen i framtvingat läge på alla Azure Stack HCI-servrar. Tillämpade Windows Defender WDAC-principer (Application Control) måste vara konsekventa mellan servrar i samma kluster. | Granskning, Inaktiverad, GranskaOmInteExisterar | 1.0.0-preview |
| [Förhandsversion]: Azure Stack HCI-servrar bör uppfylla kraven för säker kärna | Se till att alla Azure Stack HCI-servrar uppfyller kraven för skyddad kärna. Så här aktiverar du serverkraven för säkra kärnor: 1. På sidan Azure Stack HCI-kluster går du till Windows Admin Center och väljer Anslut. 2. Gå till säkerhetstillägget och välj Secured-core. 3. Välj valfri inställning som inte är aktiverad och klicka på Aktivera. | Granskning, Inaktiverad, GranskaOmInteExisterar | 1.0.0-preview |
| [Preview]: Azure Stack HCI-system bör ha krypterade volymer | Använd BitLocker för att kryptera operativsystemet och datavolymerna på Azure Stack HCI-system. | Granskning, Inaktiverad, GranskaOmInteExisterar | 1.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. | AuditIfNotExists, avaktiverad | 6.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på skalningsuppsättningar för virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. | AuditIfNotExists, avaktiverad | 5.1.0-preview |
| [Preview]: Gästattesteringstillägget bör installeras på Windows virtuella datorer som stöds | Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller betrodd start och konfidentiell Windows virtuella datorer. | AuditIfNotExists, avaktiverad | 4.0.0-preview |
| [Preview]: Gästattesteringstillägget bör installeras på Windows vm-skalningsuppsättningar som stöds | Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella Windows VM-skalningsuppsättningar. | AuditIfNotExists, avaktiverad | 3.1.0-preview |
| [Förhandsversion]: Värd- och VM-nätverk bör skyddas på Azure Stack HCI-system | Skydda data i Azure Stack HCI är värd för nätverket och på nätverksanslutningar för virtuella datorer. | Granskning, Inaktiverad, GranskaOmInteExisterar | 1.0.0-preview |
| [Förhandsversion]: Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter | Alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) måste signeras av betrodda utgivare. Defender för molnet har identifierat os-startkomponenter som inte är betrodda på en eller flera av dina Linux-datorer. Om du vill skydda dina datorer från potentiellt skadliga komponenter lägger du till dem i listan över tillåtna komponenter eller tar bort de identifierade komponenterna. | AuditIfNotExists, avaktiverad | 1.0.0-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina Azure virtuella datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, avaktiverad | 1.0.2-preview |
| [Preview]: Datainsamlingsagenten för nätverkstrafik bör installeras på Windows virtuella datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina Azure virtuella datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, avaktiverad | 1.0.2-preview |
| [Preview]: Säker start bör aktiveras på Windows virtuella datorer som stöds | Aktivera säker start på Windows virtuella datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller betrodd start och konfidentiell Windows virtuella datorer. | Granskning, avaktiverad | 4.0.0-preview |
| [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. | Granskning, avaktiverad | 2.0.0-preview |
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, avaktiverad | 3.0.0 |
| En Microsoft Entra administratör bör etableras för MySQL-servrar | Granska etableringen av en Microsoft Entra administratör för MySQL-servern för att aktivera Microsoft Entra autentisering. Microsoft Entra autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, avaktiverad | 1.1.1 |
| En Microsoft Entra administratör bör etableras för PostgreSQL-servrar | Granska etableringen av en Microsoft Entra administratör för PostgreSQL-servern för att aktivera Microsoft Entra autentisering. Microsoft Entra autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, avaktiverad | 1.0.1 |
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, avaktiverad | 3.0.0 |
| En Azure Active Directory administratör bör etableras för SQL-servrar | Granska etablering av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering av databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, avaktiverad | 1.0.0 |
| API-slutpunkter i Azure API Management ska autentiseras | API-slutpunkter som publiceras i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. Läs mer om OWASP API Threat for Broken User Authentication här: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, avaktiverad | 1.0.1 |
| API-slutpunkter som inte används bör inaktiveras och tas bort från Azure API Management-tjänsten | Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk för din organisation. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten men som av misstag har lämnats aktiva. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen. | AuditIfNotExists, avaktiverad | 1.0.1 |
| API Management-API:er bör endast använda krypterade protokoll | För att säkerställa säkerheten för data under överföring bör API:er endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS. | Granska, inaktiverad, Neka | 2.0.2 |
| API Management-anrop till API-serverdelar ska autentiseras | Anrop från API Management till serverdelar bör använda någon form av autentisering, oavsett om det är via certifikat eller autentiseringsuppgifter. Gäller inte för tjänst-Fabric-serverdelar. | Granska, inaktiverad, Neka | 1.0.1 |
| API Management-anrop till API-serverdelar bör inte kringgå certifikatets tumavtryck eller namnverifiering | För att förbättra API-säkerheten bör API Management verifiera serverdelsservercertifikatet för alla API-anrop. Aktivera tumavtryck och namnvalidering för SSL-certifikat. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management-slutpunkten för direkthantering bör inte vara aktiverad | REST-API:et för direkthantering i Azure API Management kringgår Azure Resource Manager rollbaserade mekanismer för åtkomstkontroll, auktorisering och begränsning, vilket ökar tjänstens sårbarhet. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management-hemligheten med namngivna värden ska lagras i Azure Key Vault | Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. För att förbättra säkerheten för API Management och hemligheter refererar du till hemligheten med namngivna värden från Azure Key Vault. Azure Key Vault stöder detaljerade principer för åtkomsthantering och hemlig rotation. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk | För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för hantering av direktåtkomst, git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självhanterade gatewayer. | AuditIfNotExists, avaktiverad | 1.0.1 |
| API Management-prenumerationer bör inte begränsas till alla API:er | API Management-prenumerationer bör begränsas till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till överdriven dataexponering. | Granska, inaktiverad, Neka | 1.1.0 |
| Appkonfiguration bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, avaktiverad | 1.0.2 |
| App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, avaktiverad | 1.0.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, avaktiverad | 2.0.0 |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, avaktiverad | 2.0.1 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, avaktiverad | 2.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, avaktiverad | 3.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, avaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, avaktiverad | 2.2.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, avaktiverad | 1.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning av din SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, avaktiverad | 2.0.0 |
| Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en Azure virtuell Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, avaktiverad | 3.2.0 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, avaktiverad | 2.0.1 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure AI Services-resurser ska kryptera data i vila med en kundhanterad nyckel (CMK) | Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. | Granska, neka, inaktiverad | 2.2.0 |
| Azure AI Services-resurser ska ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.3.0 |
| Azure AI Services-resurser bör använda Azure Private Link | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen minskar risken för dataläckage genom att hantera anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Läs mer om privata länkar på: https://aka.ms/AzurePrivateLink/Overview | Granskning, avaktiverad | 1.0.0 |
| Azure API Management plattformsversion ska vara stv2 | Azure API Management stv1-beräkningsplattformsversionen dras tillbaka från och med den 31 augusti 2024 och dessa instanser bör migreras till stv2-beräkningsplattformen för fortsatt support. Läs mer på https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Granska, neka, inaktiverad | 1.0.0 |
| Azure Arc aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat | Det Azure Policy tillägget för Azure Arc ger skalbara verkställighetar och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. | AuditIfNotExists, avaktiverad | 1.1.0 |
| Azure Backup bör aktiveras för Virtual Machines | Skydda dina Azure Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Cosmos DB konton bör ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Cosmos DB konton ska använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 1.1.0 |
| Azure Cosmos DB bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt CosmosDB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt CosmosDB-konto. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Databricks Kluster bör inaktivera offentlig IP | Om du inaktiverar offentliga IP-adresser för kluster i Azure Databricks arbetsytor förbättras säkerheten genom att kluster inte exponeras på det offentliga Internet. Läs mer på: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Databricks Arbetsytor bör finnas i ett virtuellt nätverk | Azure Virtuella nätverk ger förbättrad säkerhet och isolering för dina Azure Databricks-arbetsytor, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. Läs mer på: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Granska, neka, inaktiverad | 1.0.2 |
| Azure Databricks Arbetsytor bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Databricks Arbetsytor bör använda privat länk | Azure Private Link låter dig ansluta dina virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till Azure Databricks arbetsytor kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/adbpe. | Granskning, avaktiverad | 1.0.2 |
| Azure DDoS Protection ska vara aktiverat | DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. | AuditIfNotExists, avaktiverad | 3.0.1 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database servrar bör aktiveras | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Azure Defender för Key Vault bör aktiveras | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault konton. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Azure Defender för relationsdatabaser med öppen källkod bör aktiveras | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Defender för Resource Manager ska aktiveras | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och aviseringar om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Defender för servrar ska aktiveras | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer bör aktiveras | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Azure Defender för SQL bör aktiveras för oskyddade Azure SQL servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, avaktiverad | 2.0.1 |
| Azure Defender för SQL bör aktiveras för oskyddade flexibla MySQL-servrar | Granska flexibla MySQL-servrar utan Advanced Data Security | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Defender för SQL bör aktiveras för oskyddade flexibla PostgreSQL-servrar | Granska flexibla PostgreSQL-servrar utan Advanced Data Security | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Defender för SQL bör aktiveras för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Azure Event Grid domäner bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, avaktiverad | 1.0.2 |
| Azure Event Grid ämnen bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, avaktiverad | 1.0.2 |
| Azure Key Vault bör ha brandvägg aktiverat eller offentlig nätverksåtkomst inaktiverad | Aktivera nyckelvalvsbrandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser eller inaktivera offentlig nätverksåtkomst för ditt nyckelvalv så att det inte är tillgängligt via det offentliga Internet. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security och https://aka.ms/akvprivatelink | Granska, neka, inaktiverad | 3.3.0 |
| Azure Key Vault bör använda RBAC-behörighetsmodellen | Aktivera RBAC-behörighetsmodell i Key Vaults. Läs mer på: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Granska, neka, inaktiverad | 1.0.1 |
| Azure Key Vaults bör använda privat länk | Azure Private Link låter dig ansluta dina virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Kubernetes Service kluster bör ha Defender profil aktiverad | Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Granskning, avaktiverad | 2.0.1 |
| Azure Machine Learning beräkningsinstanser bör återskapas för att hämta de senaste programuppdateringarna | Se till att Azure Machine Learning beräkningsinstanser körs på det senaste tillgängliga operativsystemet. Säkerheten förbättras och säkerhetsrisker minskas genom att köras med de senaste säkerhetskorrigeringarna. Mer information finns på https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Computes bör finnas i ett virtuellt nätverk | Azure virtuella nätverk ger förbättrad säkerhet och isolering för dina Azure Machine Learning Beräkningskluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket. | Granskning, avaktiverad | 1.0.1 |
| Azure Machine Learning Computes bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att se till att strojové učenie Computes kräver Azure Active Directory identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Machine Learning arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.1.0 |
| Azure Machine Learning Arbetsytor bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att se till att strojové učenie arbetsytor inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Granska, neka, inaktiverad | 2.0.1 |
| Azure Machine Learning arbetsytor bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till Azure Machine Learning arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, avaktiverad | 1.0.0 |
| Azure Flexibel MySQL-server bör ha Microsoft Entra Endast autentisering aktiverat | Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Microsoft Entra autentisering förbättras säkerheten genom att se till att Azure flexibel MySQL-server endast kan nås av Microsoft Entra identiteter. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | Azure Policy tillägg för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanten för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. | Granskning, avaktiverad | 1.0.2 |
| Azure registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Azure SignalR Service bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till din Azure SignalR Service resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, avaktiverad | 1.0.0 |
| Azure Spring Cloud bör använda nätverksinmatning | Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure tjänst i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. | Granska, inaktiverad, Neka | 1.2.0 |
| Azure SQL Database ska köra TLS version 1.2 eller senare | Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. | Granska, inaktiverad, Neka | 2.0.0 |
| Azure SQL Database bör ha Microsoft Entra autentisering aktiverat | Kräv Azure SQL logiska servrar för att använda autentisering med endast Microsoft Entra. Den här principen blockerar inte att servrar skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "endast Microsoft Entra autentisering" för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL logiska servrar bör ha Microsoft Entra-endast autentisering aktiverat när de skapas | Kräv att Azure SQL logiska servrar skapas med Microsoft Entra-endast autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "endast Microsoft Entra autentisering" för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.3.0 |
| Azure SQL Managed Instance bör ha Microsoft Entra autentisering aktiverat | Kräv att Azure SQL Managed Instance använder autentisering med endast Microsoft Entra. Den här principen blockerar inte Azure SQL hanterade instanser från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "endast Microsoft Entra autentisering" för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL Managed Instances bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL managed instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Mer information om åtkomst till offentliga nätverk finns i https://aka.ms/mi-public-endpoint. | Granska, neka, inaktiverad | 1.0.0 |
| Azure SQL Hanterade instanser bör ha Microsoft Entra-endast autentisering aktiverad när du skapar | Kräv att Azure SQL Managed Instance skapas med Microsoft Entra-endast autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "endast Microsoft Entra autentisering" för att kräva båda. Läs mer på: https://aka.ms/adonlycreate. | Granska, neka, inaktiverad | 1.2.0 |
| Azure Web Application Firewall bör aktiveras för Azure Front Door startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Blockerade konton med ägarbehörigheter för Azure resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörighet för Azure resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Certifikaten ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 2.2.1 |
| Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, avaktiverad | 1.0.1 |
| Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Cosmos DB-databaskonton uteslutande kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Granska, neka, inaktiverad | 1.1.0 |
| CosmosDB-konton bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, avaktiverad | 1.0.0 |
| Diagnostikloggar i Azure AI services resurser bör aktiveras | Aktivera loggar för Azure AI services resurser. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte, när en säkerhetsincident inträffar eller om nätverket komprometteras | AuditIfNotExists, avaktiverad | 1.0.0 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, avaktiverad | 1.2.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, avaktiverad | 2.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, avaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, avaktiverad | 1.0.1 |
| Funktionsappar bör ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, avaktiverad | 1.1.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, avaktiverad | 2.1.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, avaktiverad | 2.1.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.1.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, avaktiverad | 3.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, avaktiverad | 3.1.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, avaktiverad | 2.3.0 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for MariaDB | Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, avaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for MySQL | Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, avaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, avaktiverad | 1.0.1 |
| Guest-konton med ägarbehörighet för Azure resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Guest-konton med läsbehörighet för Azure resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, avaktiverad | 3.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Key Vault nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Key Vault hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.1.0 |
| Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 9.3.0 |
| Kubernetes-klustercontainrar bör inte dela värdnamnområden | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet, värd-IPC-namnområdet och värdnätverkets namnområde i ett Kubernetes-kluster. Den här rekommendationen överensstämmer med Kubernetes Pod Security Standards för värdnamnområden och är en del av CIS 5.2.1, 5.2.2 och 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 6.0.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 6.2.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 6.2.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 9.3.0 |
| Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 6.3.0 |
| Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 6.3.0 |
| Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 6.2.0 |
| Kubernetes-klusterpoddar bör endast använda godkänd värdnätverks- och portlista | Begränsa poddåtkomsten till värdnätverket och de tillåtna värdportarna i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer och överensstämmer med Pod Security Standards (PSS) för hostPorts. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 7.0.0 |
| Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 8.2.0 |
| Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 9.2.0 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | Granska, neka, inaktiverad | 9.0.0 |
| Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 4.2.0 |
| Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 8.0.0 |
| Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 5.1.0 |
| Kubernetes-kluster bör inte använda standardnamnområdet | Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 4.2.0 |
| Linux-datorer bör uppfylla kraven för Azure beräkningssäkerhetsbaslinje | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Azure beräkningssäkerhetsbaslinje. | AuditIfNotExists, avaktiverad | 2.3.1 |
| Linux virtuella datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, avaktiverad | 1.2.1 |
| Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas | För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Granska, neka, inaktiverad | 3.9.0 |
| Datorer bör ha hemliga resultat lösta | Granskar virtuella datorer för att identifiera om de innehåller hemliga resultat från lösningarna för hemlig genomsökning på dina virtuella datorer. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Eventuell jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, avaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Microsoft Defender CSPM bör aktiveras | Defender CSPM (Cloud Security Posture Management) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande funktionerna för säkerhetsstatus aktiverade som standard i Defender för molnet. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för API:er bör aktiveras | Microsoft Defender för API:er ger ny täckning för identifiering, skydd, identifiering och svar för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Microsoft Defender för containrar ska aktiveras | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina kubernetes-miljöer i Azure, hybridmiljöer och flera moln. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för SQL bör aktiveras för oskyddade Synapse-arbetsytor | Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för Lagring bör aktiveras | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender för lagringsplanen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, avaktiverad | 1.0.0 |
| MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, avaktiverad | 1.0.4 |
| Network Watcher bör aktiveras | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, avaktiverad | 3.0.0 |
| Ent säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL för att Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, avaktiverad | 1.0.4 |
| Private-slutpunktsanslutningar på Azure SQL Database ska aktiveras | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, avaktiverad | 1.1.0 |
| Privat slutpunkt ska vara aktiverad för MariaDB-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, även inom Azure. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för MySQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, även inom Azure. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, även inom Azure. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Public nätverksåtkomst på Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Resource-loggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Resource-loggar i Azure Databricks Arbetsytor bör aktiveras | Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Resource-loggar i Azure Kubernetes Service bör aktiveras | Azure Kubernetes Service resursloggar kan hjälpa dig att återskapa aktivitetsspår när du undersöker säkerhetsincidenter. Aktivera den för att se till att loggarna finns när det behövs | AuditIfNotExists, avaktiverad | 1.0.0 |
| Resource-loggar i Azure Machine Learning Arbetsytor bör aktiveras | Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Resource-loggar i Azure Stream Analytics bör aktiveras | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Resource-loggar i Data Lake Analytics bör aktiveras | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Resource-loggar i IoT Hub bör aktiveras | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 3.1.0 |
| Resource-loggar i Key Vault bör aktiveras | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Resource-loggar i Service Bus bör aktiveras | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, avaktiverad | 5.0.0 |
| Role-Based Access Control (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, avaktiverad | 1.1.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Service Fabric kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Tjänst Fabric ger tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för nod-till-nod-kommunikation med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, avaktiverad | 4.1.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera Transparent Data Encryption (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| Automatisk konfiguration av SQL Server-mål ska aktiveras för SQL-servrar på en datorplan | Se till att dina virtuella SQL-datorer och Arc-aktiverade SQL-servrar skyddas genom att se till att DEN SQL-målinriktade Azure Monitoring Agent har konfigurerats för att distribueras automatiskt. Detta är också nödvändigt om du tidigare har konfigurerat automatisk avetablering av Microsoft Monitoring Agent, eftersom komponenten håller på att bli inaktuell. Lära sig mer: https://aka.ms/SQLAMAMigration | AuditIfNotExists, avaktiverad | 1.0.0 |
| SQL-servrar på datorer bör ha sårbarhetsresultat lösta | SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. | AuditIfNotExists, avaktiverad | 1.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera Transparent Data Encryption (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för din SQL Server granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Offentlig åtkomst för lagringskonto bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto såvida inte ditt scenario kräver det. | granskning, Granskning, nekas, Nekas, inaktiverad, Inaktiverad | 3.1.1 |
| Lagringskonton ska migreras till nya Azure Resource Manager resurser | Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör förhindra åtkomst till delad nyckel | Granskningskrav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Av dessa två typer av auktorisering ger Azure AD överlägsen säkerhet och användarvänlighet över delad nyckel och rekommenderas av Microsoft. | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör förhindra åtkomst till delad nyckel (exklusive lagringskonton som skapats av Databricks) | Granskningskrav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Av dessa två typer av auktorisering ger Azure AD överlägsen säkerhet och användarvänlighet över delad nyckel och rekommenderas av Microsoft. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika Azure virtuella nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk (exklusive lagringskonton som skapats av Databricks) | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, avaktiverad | 1.0.3 |
| Lagringskonton bör använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, avaktiverad | 2.0.0 |
| Lagringskonton bör använda privat länk (exklusive lagringskonton som skapats av Databricks) | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, avaktiverad | 1.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Synapse-arbetsytor bör ha Microsoft Entra-endast autentisering aktiverat | Kräv att Synapse-arbetsytor använder Microsoft Entra-endast autentisering. Den här principen blockerar inte arbetsytor från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "endast Microsoft Entra autentisering" för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Granska, neka, inaktiverad | 1.0.0 |
| Synapse-arbetsytor bör endast använda Microsoft Entra identiteter för autentisering när arbetsytan skapas | Kräv att Synapse-arbetsytor skapas med Microsoft Entra-endast autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "endast Microsoft Entra autentisering" för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Granska, neka, inaktiverad | 1.2.0 |
| Systemuppdateringar bör installeras på dina datorer (drivs av Update Center) | Dina datorer saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Transparent Data Encryption på SQL-databaser bör aktiveras | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, avaktiverad | 2.0.0 |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. | Granska, neka, inaktiverad | 1.0.0 |
| Virtual-datorer ska migreras till nya Azure Resource Manager resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Azure virtuella datorer i omfånget för den här principen är inte kompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, avaktiverad | 1.0.1 |
| Mallar för VM Image Builder ska använda privat länk | Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress på källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
| VPN-gatewayer bör endast använda Azure Active Directory-autentisering (Azure AD) för punkt-till-plats-användare | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att vpn-gatewayer endast använder Azure Active Directory identiteter för autentisering. Läs mer om Azure AD-autentisering på https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Granska, neka, inaktiverad | 1.0.0 |
| Vulnerability-utvärdering bör aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Web Application Firewall (WAF) ska vara aktiverat för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina säkerhetsrisker och produktivitetskrav (endast Windows). | AuditIfNotExists, avaktiverad | 2.0.0 |
| Windows datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, avaktiverad | 4.1.1 |
| Windows datorer bör uppfylla kraven i Azure beräkningssäkerhetsbaslinje | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Azure beräkningssäkerhetsbaslinje. | AuditIfNotExists, avaktiverad | 2.1.1 |
| Windows virtuella datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, avaktiverad | 1.1.1 |
Microsoft Defender för molnet kategori
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: ChangeTracking-tillägget ska vara installerat på Linux Arc-datorn | Installera ChangeTracking-tillägget på Linux Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Övervakningsagent. | AuditIfNotExists, avaktiverad | 1.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska installeras på den virtuella Linux-datorn | Installera ChangeTracking-tillägget på virtuella Linux-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Övervakningsagent. | AuditIfNotExists, avaktiverad | 2.0.0-preview |
| [Preview]: ChangeTracking-tillägget bör installeras på din Windows Arc-dator | Installera ChangeTracking-tillägget på Windows Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Övervakningsagent. | AuditIfNotExists, avaktiverad | 1.0.0-preview |
| [Preview]: ChangeTracking-tillägget bör installeras på din Windows virtuella dator | Installera ChangeTracking-tillägget på Windows virtuella datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Övervakningsagent. | AuditIfNotExists, avaktiverad | 2.0.0-preview |
| [Preview]: Konfigurera Azure Defender för SQL-agenten på den virtuella datorn | Konfigurera Windows datorer för att automatiskt installera Azure Defender för SQL-agenten där Azure Monitor-agenten är installerad. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapar en resursgrupp och Log Analytics arbetsyta i samma region som datorn. Virtuella måldatorer måste finnas på en plats som stöds. | DistribueraOmInteExisterar, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DistribueraOmInteExisterar, inaktiverad | 6.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera säker start | Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. | DistribueraOmInteExisterar, inaktiverad | 5.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DistribueraOmInteExisterar, inaktiverad | 7.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM | Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. | DistribueraOmInteExisterar, inaktiverad | 2.0.0-preview |
| [Preview]: Konfigurera Windows vm-skalningsuppsättningar som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera Windows vm-skalningsuppsättningar som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DistribueraOmInteExisterar, inaktiverad | 4.1.0-preview |
| [Preview]: Konfigurera Windows virtuella datorer som stöds för att automatiskt aktivera säker start | Konfigurera Windows virtuella datorer som stöds för att automatiskt aktivera säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. | DistribueraOmInteExisterar, inaktiverad | 3.0.0-preview |
| [Preview]: Konfigurera Windows virtuella datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera Windows virtuella datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DistribueraOmInteExisterar, inaktiverad | 5.1.0-preview |
| [Preview]: Konfigurera virtuella datorer som skapats med Shared Image Gallery avbildningar för att installera gästattesteringstillägget | Konfigurera virtuella datorer som skapats med Shared Image Gallery avbildningar för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DistribueraOmInteExisterar, inaktiverad | 2.0.0-preview |
| [Preview]: Konfigurera VMSS som skapats med Shared Image Gallery avbildningar för att installera gästattesteringstillägget | Konfigurera VMSS som skapats med Shared Image Gallery avbildningar för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DistribueraOmInteExisterar, inaktiverad | 2.1.0-preview |
| [Preview]: Distribuera Microsoft Defender för Endpoint agent på Linux-hybriddatorer | Distribuerar Microsoft Defender för Endpoint agent på Linux-hybriddatorer | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-preview |
| [Preview]: Distribuera Microsoft Defender för Endpoint agent på virtuella Linux-datorer | Distribuerar Microsoft Defender för Endpoint agenten på tillämpliga avbildningar av virtuella Linux-datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 3.0.0-preview |
| [Preview]: Distribuera Microsoft Defender för Endpoint agent på Windows Azure Arc datorer | Distribuerar Microsoft Defender för Endpoint på Windows Azure Arc datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-preview |
| [Preview]: Distribuera Microsoft Defender för Endpoint agent på Windows virtuella datorer | Distribuerar Microsoft Defender för Endpoint på tillämpliga Windows VM-avbildningar. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. | AuditIfNotExists, avaktiverad | 6.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på skalningsuppsättningar för virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. | AuditIfNotExists, avaktiverad | 5.1.0-preview |
| [Preview]: Gästattesteringstillägget bör installeras på Windows virtuella datorer som stöds | Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller betrodd start och konfidentiell Windows virtuella datorer. | AuditIfNotExists, avaktiverad | 4.0.0-preview |
| [Preview]: Gästattesteringstillägget bör installeras på Windows vm-skalningsuppsättningar som stöds | Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella Windows VM-skalningsuppsättningar. | AuditIfNotExists, avaktiverad | 3.1.0-preview |
| [Förhandsversion]: Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter | Alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) måste signeras av betrodda utgivare. Defender för molnet har identifierat os-startkomponenter som inte är betrodda på en eller flera av dina Linux-datorer. Om du vill skydda dina datorer från potentiellt skadliga komponenter lägger du till dem i listan över tillåtna komponenter eller tar bort de identifierade komponenterna. | AuditIfNotExists, avaktiverad | 1.0.0-preview |
| [Förhandsversion]: Virtuella Linux-datorer bör använda säker start | För att skydda mot installation av rotkits och startpaket baserade på skadlig kod aktiverar du Säker start på virtuella Linux-datorer som stöds. Säker start säkerställer att endast signerade operativsystem och drivrutiner tillåts köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. | AuditIfNotExists, avaktiverad | 1.0.0-preview |
| [Förhandsversion]: Datorer bör ha portar stängda som kan exponera attackvektorer | Azure användningsvillkor förbjuder användning av Azure tjänster på sätt som kan skada, inaktivera, överbelasta eller försämra någon Microsoft server eller nätverket. De exponerade portar som identifieras i den här rekommendationen måste stängas för din fortsatta säkerhet. För varje identifierad port ger rekommendationen också en förklaring av det potentiella hotet. | AuditIfNotExists, avaktiverad | 1.0.0-preview |
| [Preview]: Säker start bör aktiveras på Windows virtuella datorer som stöds | Aktivera säker start på Windows virtuella datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller betrodd start och konfidentiell Windows virtuella datorer. | Granskning, avaktiverad | 4.0.0-preview |
| [Förhandsversion]: Statusen för gästattestering för virtuella datorer bör vara felfri | Gästattestering utförs genom att skicka en betrodd logg (TCGLog) till en attesteringsserver. Servern använder dessa loggar för att avgöra om startkomponenterna är tillförlitliga. Den här utvärderingen är avsedd att identifiera kompromisser i startkedjan som kan bero på en bootkit- eller rootkit-infektion. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer som har gästattesteringstillägget installerat. | AuditIfNotExists, avaktiverad | 1.0.0-preview |
| [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. | Granskning, avaktiverad | 2.0.0-preview |
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, avaktiverad | 3.0.0 |
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, avaktiverad | 3.0.0 |
| API-slutpunkter i Azure API Management ska autentiseras | API-slutpunkter som publiceras i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. Läs mer om OWASP API Threat for Broken User Authentication här: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, avaktiverad | 1.0.1 |
| API-slutpunkter som inte används bör inaktiveras och tas bort från Azure API Management-tjänsten | Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk för din organisation. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten men som av misstag har lämnats aktiva. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Tilldela systemtilldelad identitet till SQL Virtual Machines | Tilldela systemtilldelad identitet i stor skala till Windows virtuella SQL-datorer. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, avaktiverad | 2.0.1 |
| Azure DDoS Protection ska vara aktiverat | DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. | AuditIfNotExists, avaktiverad | 3.0.1 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database servrar bör aktiveras | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Azure Defender för Key Vault bör aktiveras | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault konton. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Azure Defender för relationsdatabaser med öppen källkod bör aktiveras | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Defender för Resource Manager ska aktiveras | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och aviseringar om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Defender för servrar ska aktiveras | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer bör aktiveras | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Azure Defender för SQL bör aktiveras för oskyddade flexibla MySQL-servrar | Granska flexibla MySQL-servrar utan Advanced Data Security | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure Defender för SQL bör aktiveras för oskyddade flexibla PostgreSQL-servrar | Granska flexibla PostgreSQL-servrar utan Advanced Data Security | AuditIfNotExists, avaktiverad | 1.0.0 |
| Azure registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Blockerade konton med ägarbehörigheter för Azure resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörighet för Azure resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, avaktiverad | 1.0.0 |
| ChangeTracking-tillägget bör installeras på dina skalningsuppsättningar för virtuella Linux-datorer | Installera ChangeTracking-tillägget på skalningsuppsättningar för virtuella Linux-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Övervakningsagent. | AuditIfNotExists, avaktiverad | 2.0.1 |
| ChangeTracking-tillägget bör installeras på dina Windows VM-skalningsuppsättningar | Installera ChangeTracking-tillägget på Windows VM-skalningsuppsättningar för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Övervakningsagent. | AuditIfNotExists, avaktiverad | 2.0.1 |
| Rollinstanser för Cloud Services (utökad support) bör konfigureras på ett säkert sätt | Skydda dina rollinstanser i Cloud Service (utökad support) mot attacker genom att se till att de inte visas för några säkerhetsproblem i operativsystemet. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Rollinstanser för Cloud Services (utökad support) bör ha systemuppdateringar installerade | Skydda dina rollinstanser för Cloud Services (utökad support) genom att se till att de senaste säkerhetsuppdateringarna och kritiska uppdateringarna installeras på dem. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Konfigurera Advanced Threat Protection aktiveras på Azure databas för flexibla MySQL-servrar | Aktivera Advanced Threat Protection på din Azure databas för flexibla MySQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Advanced Threat Protection aktiveras på Azure databas för flexibla PostgreSQL-servrar | Aktivera Advanced Threat Protection på din Azure databas för flexibla PostgreSQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | DistribueraOmInteExisterar, inaktiverad | 1.1.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Azure Monitor Agent | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-aktiverade SQL-servrar. Läs mer: https://aka.ms/AMAOverview. | DistribueraOmInteExisterar, inaktiverad | 1.3.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL | Konfigurera Windows Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL-agenten. Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | DistribueraOmInteExisterar, inaktiverad | 1.2.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL och DCR med en Log Analytics arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp, en datainsamlingsregel och Log Analytics arbetsyta i samma region som datorn. | DistribueraOmInteExisterar, inaktiverad | 1.6.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL och DCR med en användardefinierad LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och en datainsamlingsregel i samma region som den användardefinierade Log Analytics arbetsytan. | DistribueraOmInteExisterar, inaktiverad | 1.8.0 |
| Konfigurera Arc-aktiverade SQL-servrar med datainsamlingsregelassociation för att Microsoft Defender för SQL DCR | Konfigurera associationen mellan Arc-aktiverade SQL-servrar och Microsoft Defender för SQL DCR. Om du tar bort den här associationen bryts identifieringen av säkerhetsrisker för dessa Arc-aktiverade SQL-servrar. | DistribueraOmInteExisterar, inaktiverad | 1.1.0 |
| Konfigurera Arc-aktiverade SQL-servrar med datainsamlingsregelassociation för att Microsoft Defender för SQL-användardefinierad DCR | Konfigurera associationen mellan Arc-aktiverade SQL-servrar och Microsoft Defender för SQL-användardefinierad DCR. Om du tar bort den här associationen bryts identifieringen av säkerhetsrisker för dessa Arc-aktiverade SQL-servrar. | DistribueraOmInteExisterar, inaktiverad | 1.3.0 |
| Konfigurera Azure Defender att App Service ska aktiveras | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | DistribueraOmInteExisterar, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för att Azure SQL databas ska aktiveras | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | DistribueraOmInteExisterar, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för att relationsdatabaser med öppen källkod ska aktiveras | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för att Resource Manager ska aktiveras | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och aviseringar om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | DistribueraOmInteExisterar, inaktiverad | 1.1.0 |
| Konfigurera Azure Defender för servrar som ska aktiveras | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | DistribueraOmInteExisterar, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för SQL-servrar på datorer som ska aktiveras | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | DistribueraOmInteExisterar, inaktiverad | 1.0.1 |
| Konfigurera grundläggande Microsoft Defender för lagring som ska aktiveras (endast aktivitetsövervakning) | Microsoft Defender för Storage tillhandahåller Azure inbyggd hotidentifiering för lagringskonton. Den här principen aktiverar grundläggande funktioner (aktivitetsövervakning). Använd aka.ms/DFStoragePolicy för fullständigt skydd, inklusive genomsökning av skadlig kod och identifiering av känsliga data. Huvudversionsuppdatering: PerTransaction stöds inte längre för nya aktiveringar efter den 5 februari 2025. Befintliga konton som använder det stöds fortfarande. Läs mer: aka.ms/DF-Storage/NewPlanMigration. | DistribueraOmInteExisterar, inaktiverad | 2.0.0 |
| Konfigurera ChangeTracking-tillägget för Linux Arc-datorer | Konfigurera Linux Arc-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DistribueraOmInteExisterar, inaktiverad | 2.1.0 |
| Konfigurera ChangeTracking-tillägget för skalningsuppsättningar för virtuella Linux-datorer | Konfigurera skalningsuppsättningar för virtuella Linux-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DistribueraOmInteExisterar, inaktiverad | 2.1.0 |
| Konfigurera ChangeTracking-tillägget för virtuella Linux-datorer | Konfigurera virtuella Linux-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DistribueraOmInteExisterar, inaktiverad | 2.2.0 |
| Konfigurera ChangeTracking-tillägg för Windows Arc-datorer | Konfigurera Windows Arc-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DistribueraOmInteExisterar, inaktiverad | 2.1.0 |
| Konfigurera ChangeTracking-tillägg för Windows vm-skalningsuppsättningar | Konfigurera Windows vm-skalningsuppsättningar för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DistribueraOmInteExisterar, inaktiverad | 2.1.0 |
| Konfigurera ChangeTracking-tillägget för Windows virtuella datorer | Konfigurera Windows virtuella datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DistribueraOmInteExisterar, inaktiverad | 2.2.0 |
| Konfigurera datorer för att ta emot en provider för sårbarhetsbedömning | Azure Defender innehåller sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center. När du aktiverar den här principen distribuerar Azure Defender automatiskt Qualys-providern för sårbarhetsbedömning till alla datorer som stöds och som inte redan har den installerad. | DistribueraOmInteExisterar, inaktiverad | 4.0.0 |
| Konfigurera Microsoft Defender CSPM plan | Defender CSPM (Cloud Security Posture Management) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande funktionerna för säkerhetsstatus aktiverade som standard i Defender för molnet. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera microsoft Defender CSPM aktiveras | Defender CSPM (Cloud Security Posture Management) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande funktionerna för säkerhetsstatus aktiverade som standard i Defender för molnet. | DistribueraOmInteExisterar, inaktiverad | 1.0.2 |
| Konfigurera Microsoft Defender för att Azure Cosmos DB ska aktiveras | Microsoft Defender för Azure Cosmos DB är ett Azure internt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Hotinformation, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för containrar | Nya funktioner läggs kontinuerligt till i Defender för containerplanen, vilket kan kräva användarens explicita aktivering. Använd den här principen för att se till att alla nya funktioner är aktiverade. | DistribueraOmInteExisterar, inaktiverad | 1.5.0 |
| Konfigurera Microsoft Defender för att containrar ska aktiveras | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina kubernetes-miljöer i Azure, hybridmiljöer och flera moln. | DistribueraOmInteExisterar, inaktiverad | 1.0.1 |
| Konfigurera Microsoft Defender för Endpoint integreringsinställningar med Microsoft Defender för molnet (WDATP_EXCLUDE_LINUX...) | Konfigurerar Microsoft Defender för Endpoint integreringsinställningar inom Microsoft Defender för molnet (kallas även WDATP_EXCLUDE_LINUX_...) för att aktivera automatisk etablering av MDE för Linux-servrar. WDATP-inställningen måste vara aktiverad för att den här inställningen ska tillämpas. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för Endpoint integreringsinställningar med Microsoft Defender för molnet (WDATP_UNIFIED_SOLUTION) | Konfigurerar Microsoft Defender för Endpoint integreringsinställningar inom Microsoft Defender för molnet (kallas även WDATP_UNIFIED_SOLUTION) för att aktivera automatisk etablering av MDE Unified Agent för Windows Server 2012R2 och 2016. WDATP-inställningen måste vara aktiverad för att den här inställningen ska tillämpas. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för Endpoint integreringsinställningar med Microsoft Defender för molnet (WDATP) | Konfigurerar Microsoft Defender för Endpoint integreringsinställningar inom Microsoft Defender för molnet (kallas även WDATP) för Windows datorer med nednivå som registrerats på MDE via MMA och automatisk etablering av MDE på Windows Server 2019 , Windows Virtual Desktop och senare. Måste vara aktiverat för att de andra inställningarna (WDATP_UNIFIED osv.) ska fungera. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för Key Vault plan | Microsoft Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault konton. | DistribueraOmInteExisterar, inaktiverad | 1.1.0 |
| Konfigurera Microsoft Defender för servrar | Nya funktioner läggs kontinuerligt till i Defender för servrar, vilket kan kräva användarens explicita aktivering. Använd den här principen för att se till att alla nya funktioner är aktiverade. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för serverplan (P1 ELLER P2) | Säkerställer att den valda Microsoft Defender för underplanen Servrar (P1 eller P2) är aktiverad på prenumerationsnivå. Den här principen stöder dynamisk markering via parametrar och framtvingar distribution om den inte redan har konfigurerats. | DistribueraOmInteExisterar, inaktiverad | 1.1.0 |
| Konfigurera Microsoft Defender att SQL ska aktiveras på Synapse-arbetsytor | Aktivera Microsoft Defender för SQL på dina Azure Synapse arbetsytor för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja SQL-databaser. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för att Lagring ska aktiveras | Microsoft Defender för Storage är ett Azure inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton. Den här principen aktiverar alla Defender för lagringsfunktioner. Aktivitetsövervakning, skanning av skadlig kod och identifiering av känsligt datahot. Mer information om Defender för lagringsfunktioner och fördelar finns i aka.ms/DefenderForStorage. | DistribueraOmInteExisterar, inaktiverad | 1.5.0 |
| Konfigurera Microsoft Defender skydd mot hot för AI-tjänster | Nya funktioner läggs kontinuerligt till i skydd mot hot för AI-tjänster, vilket kan kräva användarens explicita aktivering. Använd den här principen för att se till att alla nya funktioner är aktiverade. | DistribueraOmInteExisterar, inaktiverad | 1.1.0 |
| Konfigurera SQL-Virtual Machines för att automatiskt installera Azure Monitor Agent | Automatisera distributionen av Azure Monitor Agent-tillägget på din Windows SQL-Virtual Machines. Läs mer: https://aka.ms/AMAOverview. | DistribueraOmInteExisterar, inaktiverad | 1.6.0 |
| Konfigurera SQL-Virtual Machines för att automatiskt installera Microsoft Defender för SQL | Konfigurera Windows SQL Virtual Machines för att automatiskt installera Microsoft Defender för SQL-tillägget. Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | DistribueraOmInteExisterar, inaktiverad | 1.6.0 |
| Konfigurera SQL-Virtual Machines för att automatiskt installera Microsoft Defender för SQL och DCR med en Log Analytics arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp, en datainsamlingsregel och Log Analytics arbetsyta i samma region som datorn. | DistribueraOmInteExisterar, inaktiverad | 1.9.0 |
| Konfigurera SQL-Virtual Machines för att automatiskt installera Microsoft Defender för SQL och DCR med en användardefinierad LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och en datainsamlingsregel i samma region som den användardefinierade Log Analytics arbetsytan. | DistribueraOmInteExisterar, inaktiverad | 1.10.0 |
| Konfigurera SQL-Virtual Machines för att automatiskt installera Microsoft Defender för SQL-tillägget | Konfigurera Windows SQL Virtual Machines för att automatiskt installera Microsoft Defender för SQL-tillägget. Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för SQL Log Analytics-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och Log Analytics arbetsyta i samma region som datorn. | DistribueraOmInteExisterar, inaktiverad | 1.5.0 |
| Skapa och tilldela en inbyggd användartilldelad hanterad identitet | Skapa och tilldela en inbyggd användartilldelad hanterad identitet i stor skala till virtuella SQL-datorer. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.8.0 |
| Deploy – Konfigurera undertryckningsregler för Azure Security Center aviseringar | Förhindra Azure Security Center aviseringar för att minska tröttheten på aviseringar genom att distribuera regler för undertryckning i hanteringsgruppen eller prenumerationen. | deployIfNotExists | 1.0.0 |
| Distributionsexport till Händelsehubb som en betrodd tjänst för Microsoft Defender för molnet data | Aktivera export till Event Hub som en betrodd tjänst för Microsoft Defender för molnet data. Den här principen distribuerar en export till Event Hub som en betrodd tjänstkonfiguration med dina villkor och målhändelsehubben i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Distributionsexport till händelsehubben för Microsoft Defender för molnet data | Aktivera export till händelsehubben för Microsoft Defender för molnet data. Den här principen distribuerar en export till Event Hub-konfigurationen med dina villkor och målhändelsehubben i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 4.2.0 |
| Distributionsexport till Log Analytics arbetsyta för Microsoft Defender för molnet data | Aktivera export till Log Analytics arbetsyta med Microsoft Defender för molnet data. Den här principen distribuerar en export till Log Analytics arbetsytekonfiguration med dina villkor och målarbetsytan i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 4.1.0 |
| Distribuera arbetsflödesautomation för Microsoft Defender för molnet-aviseringar | Aktivera automatisering av Microsoft Defender för molnet aviseringar. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| Distribuera arbetsflödesautomation för Microsoft Defender för molnet rekommendationer | Aktivera automatisering av Microsoft Defender för molnet rekommendationer. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| Distributionsarbetsflödesautomation för Microsoft Defender för molnet regelefterlevnad | Aktivera automatisering av Microsoft Defender för molnet regelefterlevnad. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, avaktiverad | 1.2.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, avaktiverad | 2.1.0 |
| Enable Microsoft Defender för molnet i din prenumeration | Identifierar befintliga prenumerationer som inte övervakas av Microsoft Defender för molnet och skyddar dem med Defender för molnet kostnadsfria funktioner. Prenumerationer som redan övervakas anses vara kompatibla. Om du vill registrera nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 1.0.1 |
| Enable Security Centers automatiska etablering av Log Analytics-agenten för dina prenumerationer med anpassad arbetsyta. | Tillåt att Security Center automatiskt etablerar Log Analytics agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med hjälp av en anpassad arbetsyta. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Enable Security Centers automatiska etablering av Log Analytics agenten i dina prenumerationer med standardarbetsytan. | Tillåt att Security Center automatiskt etablerar Log Analytics agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med asc-standardarbetsytan. | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Aktivera skydd mot hot för AI-arbetsbelastningar | Microsoft skydd mot hot för AI-arbetsbelastningar ger kontextualiserade, evidensbaserade säkerhetsaviseringar som syftar till att skydda hemmaodlade Generative AI-baserade program | DistribueraOmInteExisterar, inaktiverad | 1.0.0 |
| Guest-konton med ägarbehörighet för Azure resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Guest-konton med läsbehörighet för Azure resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, avaktiverad | 3.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, avaktiverad | 1.0.2 |
| Log Analytics agenten bör installeras på dina rollinstanser för Cloud Services (utökad support) | Security Center samlar in data från dina rollinstanser för Cloud Services (utökad support) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, avaktiverad | 2.0.0 |
| Datorer bör ha hemliga resultat lösta | Granskar virtuella datorer för att identifiera om de innehåller hemliga resultat från lösningarna för hemlig genomsökning på dina virtuella datorer. | AuditIfNotExists, avaktiverad | 1.0.2 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Eventuell jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, avaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Microsoft Defender CSPM bör aktiveras | Defender CSPM (Cloud Security Posture Management) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande funktionerna för säkerhetsstatus aktiverade som standard i Defender för molnet. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för AI-tjänster bör aktiveras | Granska för att se om Microsoft Defender för AI-tjänster är aktiverat i prenumerationen. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för API:er bör aktiveras | Microsoft Defender för API:er ger ny täckning för identifiering, skydd, identifiering och svar för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer. | AuditIfNotExists, avaktiverad | 1.0.3 |
| Microsoft Defender för Azure Cosmos DB ska aktiveras | Microsoft Defender för Azure Cosmos DB är ett Azure internt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Hotinformation, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska aktiveras | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina kubernetes-miljöer i Azure, hybridmiljöer och flera moln. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för SQL bör aktiveras för oskyddade Synapse-arbetsytor | Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Microsoft Defender för Lagring bör aktiveras | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender för lagringsplanen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, avaktiverad | 3.0.0 |
| Role-Based Access Control (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, avaktiverad | 1.1.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, vilket ger hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, avaktiverad | 1.1.0 |
| Konfigurera prenumerationer för övergång till en alternativ lösning för sårbarhetsbedömning | Microsoft Defender för molnet erbjuder sårbarhetsgenomsökning för dina datorer utan extra kostnad. Om du aktiverar den här principen sprids Defender för molnet automatiskt resultaten från den inbyggda Microsoft Defender lösning för sårbarhetshantering till alla datorer som stöds. | DistribueraOmInteExisterar, inaktiverad | 1.0.0-preview |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, avaktiverad | 4.1.0 |
| Automatisk konfiguration av SQL Server-mål ska aktiveras för SQL-servrar på en datorplan | Se till att dina virtuella SQL-datorer och Arc-aktiverade SQL-servrar skyddas genom att se till att DEN SQL-målinriktade Azure Monitoring Agent har konfigurerats för att distribueras automatiskt. Detta är också nödvändigt om du tidigare har konfigurerat automatisk avetablering av Microsoft Monitoring Agent, eftersom komponenten håller på att bli inaktuell. Lära sig mer: https://aka.ms/SQLAMAMigration | AuditIfNotExists, avaktiverad | 1.0.0 |
| SQL-servrar på datorer bör ha sårbarhetsresultat lösta | SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. | AuditIfNotExists, avaktiverad | 1.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Systemuppdateringar bör installeras på dina datorer (drivs av Update Center) | Dina datorer saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. | AuditIfNotExists, avaktiverad | 1.0.1 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, avaktiverad | 3.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Azure virtuella datorer i omfånget för den här principen är inte kompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, avaktiverad | 1.0.1 |
Nästa steg
I den här artikeln har du lärt dig om Azure Policy säkerhetsprincipdefinitioner i Defender för molnet. Mer information om initiativ, principer och hur de relaterar till Defender för molnet rekommendationer finns i Vad är säkerhetsprinciper, initiativ och rekommendationer?.