Information om microsofts inbyggda initiativ för molnsäkerhetstest för regelefterlevnad

Artikel
04/17/2024

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i Microsofts prestandamått för molnsäkerhet. Mer information om den här efterlevnadsstandarden finns i Microsofts prestandamått för molnsäkerhet. Information om ägarskap finns i Principdefinition för Azure Policy och Delat ansvar i molnet.

Följande mappningar gäller microsofts benchmark-kontroller för molnsäkerhet. Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen för Microsoft Cloud Security Benchmark Regulatory Compliance.

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

Nätverkssäkerhet

Upprätta gränser för nätverkssegmentering

ID: Microsoft cloud security benchmark NS-1 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer	Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan	AuditIfNotExists, inaktiverad	3.0.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn	Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser.	AuditIfNotExists, inaktiverad	3.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp	Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät.	AuditIfNotExists, inaktiverad	3.0.0

Skydda molntjänster med nätverkskontroller

ID: Microsoft cloud security benchmark NS-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas	Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0-preview
API Management-tjänster bör använda ett virtuellt nätverk	Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket.	Granska, neka, inaktiverad	1.0.2
API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk	För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för hantering av direktåtkomst, git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självhanterade gatewayer.	AuditIfNotExists, inaktiverad	1.0.1
Appkonfiguration bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, inaktiverad	1.0.2
Auktoriserade IP-intervall ska definieras i Kubernetes Services	Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret.	Granskning, inaktiverad	2.0.1
Azure AI Services-resurser bör begränsa nätverksåtkomsten	Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten.	Granska, neka, inaktiverad	3.2.0
Azure Cache for Redis bör använda privat länk	Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, inaktiverad	1.0.0
Azure Cosmos DB-konton ska ha brandväggsregler	Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla.	Granska, neka, inaktiverad	2.0.0
Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk	Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt CosmosDB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt CosmosDB-konto. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation.	Granska, neka, inaktiverad	1.0.0
Azure Databricks-kluster bör inaktivera offentlig IP-adress	Om du inaktiverar offentliga IP-adresser för kluster i Azure Databricks-arbetsytor förbättras säkerheten genom att kluster inte exponeras på det offentliga Internet. Läs mer på: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity.	Granska, neka, inaktiverad	1.0.1
Azure Databricks-arbetsytor ska finnas i ett virtuellt nätverk	Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Databricks-arbetsytor, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. Läs mer på: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject.	Granska, neka, inaktiverad	1.0.2
Azure Databricks-arbetsytor bör inaktivera åtkomst till offentligt nätverk	Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link.	Granska, neka, inaktiverad	1.0.1
Azure Databricks-arbetsytor bör använda privat länk	Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Databricks-arbetsytor kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/adbpe.	Granskning, inaktiverad	1.0.2
Azure Event Grid-domäner bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints.	Granskning, inaktiverad	1.0.2
Azure Event Grid-ämnen bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints.	Granskning, inaktiverad	1.0.2
Azure Key Vault bör ha brandvägg aktiverat	Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security	Granska, neka, inaktiverad	3.2.1
Azure Key Vaults bör använda privat länk	Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Azure Machine Learning Computes ska finnas i ett virtuellt nätverk	Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Machine Learning Compute-kluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket.	Granskning, inaktiverad	1.0.1
Azure Machine Learning-arbetsytor bör inaktivera åtkomst till offentligt nätverk	Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att maskininlärningsarbetsytorna inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal.	Granska, neka, inaktiverad	2.0.1
Azure Machine Learning-arbetsytor bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Granskning, inaktiverad	1.0.0
Azure SignalR Service bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink.	Granskning, inaktiverad	1.0.0
Azure Spring Cloud bör använda nätverksinmatning	Azure Spring Cloud-instanser bör använda inmatning av virtuella nätverk i följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud.	Granska, inaktiverad, Neka	1.2.0
Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk	Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Mer information om åtkomst till offentliga nätverk finns i https://aka.ms/mi-public-endpoint.	Granska, neka, inaktiverad	1.0.0
Cognitive Services bör använda privat länk	Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800.	Granskning, inaktiverad	3.0.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst	Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet.	Granska, neka, inaktiverad	2.0.0
Containerregister bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link.	Granskning, inaktiverad	1.0.1
CosmosDB-konton bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Granskning, inaktiverad	1.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade	Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database.	Granskning, inaktiverad	1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar	Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure.	AuditIfNotExists, inaktiverad	1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar	Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure.	AuditIfNotExists, inaktiverad	1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar	Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure.	AuditIfNotExists, inaktiverad	1.0.2
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras	Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler.	Granska, neka, inaktiverad	1.1.0
Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar	Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler.	Granska, neka, inaktiverad	2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar	Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler.	Granska, neka, inaktiverad	2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar	Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler.	Granska, neka, inaktiverad	2.0.1
Lagringskonton bör begränsa nätverksåtkomsten	Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet	Granska, neka, inaktiverad	1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk	Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton.	Granska, neka, inaktiverad	1.0.1
Lagringskonton bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, inaktiverad	2.0.0
Mallar för VM Image Builder ska använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Granska, inaktiverad, Neka	1.1.0

Distribuera brandväggen i utkanten av företagsnätverket

ID: Microsoft cloud security benchmark NS-3 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall	Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds	AuditIfNotExists, inaktiverad	3.0.0-preview
IP-vidarebefordran på den virtuella datorn bör inaktiveras	Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet.	AuditIfNotExists, inaktiverad	3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk	Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.0.0
Hanteringsportar bör stängas på dina virtuella datorer	Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn.	AuditIfNotExists, inaktiverad	3.0.0

Distribuera DDOS-skydd

ID: Microsoft cloud security benchmark NS-5 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure DDoS Protection ska vara aktiverat	DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress.	AuditIfNotExists, inaktiverad	3.0.1

Distribuera brandvägg för webbprogram

ID: Microsoft cloud security benchmark NS-6 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter	Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler.	Granska, neka, inaktiverad	1.0.2
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway	Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler.	Granska, neka, inaktiverad	2.0.0

Förenkla nätverkssäkerhetskonfigurationen

ID: Microsoft cloud security benchmark NS-7 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer	Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan	AuditIfNotExists, inaktiverad	3.0.0

Identifiera och inaktivera osäkra tjänster och protokoll

ID: Microsoft cloud security benchmark NS-8 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Funktionsappar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1

Identitetshantering

Använda centraliserat identitets- och autentiseringssystem

ID: Microsoft cloud security benchmark IM-1 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
En Microsoft Entra-administratör bör etableras för PostgreSQL-servrar	Granska etableringen av en Microsoft Entra-administratör för PostgreSQL-servern för att aktivera Microsoft Entra-autentisering. Microsoft Entra-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster	AuditIfNotExists, inaktiverad	1.0.1
En Azure Active Directory-administratör bör etableras för SQL-servrar	Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster	AuditIfNotExists, inaktiverad	1.0.0
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering)	Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth	Granska, neka, inaktiverad	1.1.0
Azure Machine Learning Computes bör ha lokala autentiseringsmetoder inaktiverade	Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att maskininlärningsberäkning kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy.	Granska, neka, inaktiverad	2.1.0
Azure SQL Database bör ha Microsoft Entra-endast autentisering aktiverat	Kräv att logiska Azure SQL-servrar använder Endast Microsoft Entra-autentisering. Den här principen blockerar inte att servrar skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate.	Granska, neka, inaktiverad	1.0.0
Azure SQL Database bör ha Microsoft Entra-endast autentisering aktiverat när du skapar	Kräv att logiska Azure SQL-servrar skapas med endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate.	Granska, neka, inaktiverad	1.2.0
Azure SQL Managed Instance ska ha Microsoft Entra-endast autentisering aktiverat	Kräv att Azure SQL Managed Instance använder Endast Microsoft Entra-autentisering. Den här principen blockerar inte Azure SQL Managed-instanser från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate.	Granska, neka, inaktiverad	1.0.0
Azure SQL Managed Instances bör ha Microsoft Entra-endast autentisering aktiverad när du skapar	Kräv att Azure SQL Managed Instance skapas med endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/adonlycreate.	Granska, neka, inaktiverad	1.2.0
Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade	Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Granska, neka, inaktiverad	1.1.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering	Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric	Granska, neka, inaktiverad	1.1.0
Lagringskonton bör förhindra åtkomst till delad nyckel	Granska krav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory-autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Med de här två typerna av auktorisering ger Azure AD överlägsen säkerhet och enkel användning över delad nyckel och rekommenderas av Microsoft.	Granska, neka, inaktiverad	2.0.0
Synapse-arbetsytor ska ha Microsoft Entra-endast autentisering aktiverat	Kräv att Synapse-arbetsytor använder Endast Microsoft Entra-autentisering. Den här principen blockerar inte arbetsytor från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse.	Granska, neka, inaktiverad	1.0.0
Synapse-arbetsytor bör endast använda Microsoft Entra-identiteter för autentisering när arbetsytan skapas	Kräv att Synapse-arbetsytor skapas med endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse.	Granska, neka, inaktiverad	1.2.0
VPN-gatewayer bör endast använda Azure Active Directory-autentisering (Azure AD) för punkt-till-plats-användare	Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att vpn-gatewayer endast använder Azure Active Directory-identiteter för autentisering. Läs mer om Azure AD-autentisering på https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant	Granska, neka, inaktiverad	1.0.0

Hantera programidentiteter på ett säkert och automatiskt sätt

ID: Microsoft cloud security benchmark IM-3 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar bör använda hanterad identitet	Använda en hanterad identitet för förbättrad autentiseringssäkerhet	AuditIfNotExists, inaktiverad	3.0.0
Funktionsappar bör använda hanterad identitet	Använda en hanterad identitet för förbättrad autentiseringssäkerhet	AuditIfNotExists, inaktiverad	3.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet	Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol	AuditIfNotExists, inaktiverad	1.0.1

Autentisera server och tjänster

ID: Microsoft cloud security benchmark IM-4 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
API-slutpunkter i Azure API Management ska autentiseras	API-slutpunkter som publiceras i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. Läs mer om OWASP API Threat for Broken User Authentication här: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication	AuditIfNotExists, inaktiverad	1.0.1
API Management-anrop till API-serverdelar ska autentiseras	Anrop från API Management till serverdelar bör använda någon form av autentisering, oavsett om det är via certifikat eller autentiseringsuppgifter. Gäller inte för Service Fabric-serverdelar.	Granska, inaktiverad, Neka	1.0.1
API Management-anrop till API-serverdelar bör inte kringgå certifikatets tumavtryck eller namnverifiering	För att förbättra API-säkerheten bör API Management verifiera serverdelsservercertifikatet för alla API-anrop. Aktivera tumavtryck och namnvalidering för SSL-certifikat.	Granska, inaktiverad, Neka	1.0.2
Azure SQL Database ska köra TLS version 1.2 eller senare	Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker.	Granska, inaktiverad, Neka	2.0.0

Använda starka autentiseringskontroller

ID: Microsoft cloud security benchmark IM-6 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar	Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, inaktiverad	3.2.0

Begränsa exponeringen av autentiseringsuppgifter och hemligheter

ID: Microsoft cloud security benchmark IM-8 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
API Management lägsta API-version ska anges till 2019-12-01 eller senare	För att förhindra att tjänsthemligheter delas med skrivskyddade användare bör den lägsta API-versionen anges till 2019-12-01 eller senare.	Granska, neka, inaktiverad	1.0.1
API Management-hemlighet med namngivna värden ska lagras i Azure Key Vault	Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. För att förbättra säkerheten för API Management och hemligheter refererar du till hemliga namngivna värden från Azure Key Vault. Azure Key Vault har stöd för detaljerade principer för åtkomsthantering och hemlig rotation.	Granska, inaktiverad, Neka	1.0.2
Datorer bör ha hemliga resultat lösta	Granskar virtuella datorer för att identifiera om de innehåller hemliga resultat från lösningarna för hemlig genomsökning på dina virtuella datorer.	AuditIfNotExists, inaktiverad	1.0.2

Privilegierad åtkomst

Avgränsa och begränsa högprivilegierade/administrativa användare

ID: Microsoft cloud security benchmark PA-1 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Högst 3 ägare bör utses för din prenumeration	Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare.	AuditIfNotExists, inaktiverad	3.0.0
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort	Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort	Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Det bör finnas fler än en ägare tilldelad till din prenumeration	Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans.	AuditIfNotExists, inaktiverad	3.0.0

Undvik stående åtkomst för konton och behörigheter

ID: Microsoft cloud security benchmark PA-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk	Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.0.0

Granska och stäm av användaråtkomsten regelbundet

ID: Microsoft cloud security benchmark PA-4 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort	Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in.	AuditIfNotExists, inaktiverad	1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort	Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort	Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort	Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort	Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0

Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

ID: Microsoft cloud security benchmark PA-7 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
API Management-prenumerationer bör inte begränsas till alla API:er	API Management-prenumerationer bör begränsas till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till överdriven dataexponering.	Granska, inaktiverad, Neka	1.1.0
Granska användningen av anpassade RBAC-roller	Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering	Granskning, inaktiverad	1.0.1
Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services	Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper.	Granskning, inaktiverad	1.0.3

Dataskydd

Identifiera, klassificera och märka känsliga data

ID: Microsoft Cloud Security Benchmark DP-1 Ägarskap: Delat

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Microsoft Defender för API:er ska vara aktiverat	Microsoft Defender för API:er ger ny identifiering, skydd, identifiering och svarstäckning för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer.	AuditIfNotExists, inaktiverad	1.0.3

Övervaka avvikelser och hot mot känsliga data

ID: Microsoft cloud security benchmark DP-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances	Granska varje SQL Managed Instance utan avancerad datasäkerhet.	AuditIfNotExists, inaktiverad	1.0.2
Microsoft Defender för API:er ska vara aktiverat	Microsoft Defender för API:er ger ny identifiering, skydd, identifiering och svarstäckning för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer.	AuditIfNotExists, inaktiverad	1.0.3
Microsoft Defender för Storage ska vara aktiverat	Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader.	AuditIfNotExists, inaktiverad	1.0.0

Kryptera känsliga data under överföring

ID: Microsoft cloud security benchmark DP-3 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Värd- och VM-nätverk bör skyddas på Azure Stack HCI-system	Skydda data i Azure Stack HCI-värdnätverket och på nätverksanslutningar för virtuella datorer.	Audit, Disabled, AuditIfNotExists	1.0.0-preview
API Management-API:er bör endast använda krypterade protokoll	För att säkerställa säkerheten för data under överföring bör API:er endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS.	Granska, inaktiverad, Neka	2.0.2
App Service-appar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	4.0.0
App Service-appar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
App Service-appar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Azure SQL Database ska köra TLS version 1.2 eller senare	Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker.	Granska, inaktiverad, Neka	2.0.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar	Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar	Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	5.0.0
Funktionsappar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Funktionsappar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Kubernetes-kluster bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade	Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	1.0.0
Säker överföring till lagringskonton ska vara aktiverad	Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	2.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll	För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer.	AuditIfNotExists, inaktiverad	4.1.1

Aktivera vilande datakryptering som standard

ID: Microsoft cloud security benchmark DP-4 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
En Microsoft Entra-administratör bör etableras för MySQL-servrar	Granska etableringen av en Microsoft Entra-administratör för din MySQL-server för att aktivera Microsoft Entra-autentisering. Microsoft Entra-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster	AuditIfNotExists, inaktiverad	1.1.1
Automation-kontovariabler ska krypteras	Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras	Granska, neka, inaktiverad	1.1.0
Azure MySQL – flexibel server bör ha Microsoft Entra Only Authentication aktiverat	Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Microsoft Entra-autentisering förbättras säkerheten genom att säkerställa att azure MySQL– flexibel server uteslutande kan nås av Microsoft Entra-identiteter.	AuditIfNotExists, inaktiverad	1.0.1
Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost.	Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol.	AuditIfNotExists, inaktiverad	1.2.1
Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign	Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt	Granska, neka, inaktiverad	1.1.0
transparent datakryptering på SQL-databaser ska vara aktiverat	Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven	AuditIfNotExists, inaktiverad	2.0.0
Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat	Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe.	Granska, neka, inaktiverad	1.0.0
Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser	Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, inaktiverad	2.0.3
Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost.	Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol.	AuditIfNotExists, inaktiverad	1.1.1

Använd alternativet kundhanterad nyckel i vilande datakryptering när det behövs

ID: Microsoft cloud security benchmark DP-5 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Azure Stack HCI-system ska ha krypterade volymer	Använd BitLocker för att kryptera operativsystemet och datavolymerna i Azure Stack HCI-system.	Audit, Disabled, AuditIfNotExists	1.0.0-preview
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data	Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk.	audit, Audit, deny, Deny, disabled, Disabled	1.1.0
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel	Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk.	Granska, neka, inaktiverad	1.0.3
Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel	Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data som lagras i Cognitive Services krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om kundhanterade nycklar på https://go.microsoft.com/fwlink/?linkid=2121321.	Granska, neka, inaktiverad	2.1.0
Containerregister ska krypteras med en kundhanterad nyckel	Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK.	Granska, neka, inaktiverad	1.1.2
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data	Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.	AuditIfNotExists, inaktiverad	1.0.4
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data	Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.	AuditIfNotExists, inaktiverad	1.0.4
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data	Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav.	Granska, neka, inaktiverad	2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data	Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav.	Granska, neka, inaktiverad	2.0.1
Lagringskonton bör använda kundhanterad nyckel för kryptering	Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt.	Granskning, inaktiverad	1.0.3

Använda en säker nyckelhanteringsprocess

ID: Microsoft cloud security benchmark DP-6 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
API Management-hemlighet med namngivna värden ska lagras i Azure Key Vault	Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. För att förbättra säkerheten för API Management och hemligheter refererar du till hemliga namngivna värden från Azure Key Vault. Azure Key Vault har stöd för detaljerade principer för åtkomsthantering och hemlig rotation.	Granska, inaktiverad, Neka	1.0.2
Key Vault-nycklar bör ha ett utgångsdatum	Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar.	Granska, neka, inaktiverad	1.0.2
Key Vault-hemligheter bör ha ett utgångsdatum	Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter.	Granska, neka, inaktiverad	1.0.2

Använda en säker certifikathanteringsprocess

ID: Microsoft cloud security benchmark DP-7 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Certifikaten ska ha den angivna maximala giltighetsperioden	Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv.	audit, Audit, deny, Deny, disabled, Disabled	2.2.1

Säkerställa säkerheten för nyckel- och certifikatlagringsplatsen

ID: Microsoft cloud security benchmark DP-8 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för Key Vault ska vara aktiverat	Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton.	AuditIfNotExists, inaktiverad	1.0.3
Azure Key Vault bör ha brandvägg aktiverat	Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security	Granska, neka, inaktiverad	3.2.1
Azure Key Vaults bör använda privat länk	Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Nyckelvalv bör ha borttagningsskydd aktiverat	Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard.	Granska, neka, inaktiverad	2.1.0
Nyckelvalv bör ha mjuk borttagning aktiverat	Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod.	Granska, neka, inaktiverad	3.0.0
Resursloggar i Key Vault ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0

Tillgångshantering

Använd endast godkända tjänster

ID: Microsoft cloud security benchmark AM-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure API Management-plattformsversionen ska vara stv2	Azure API Management stv1-beräkningsplattformsversionen dras tillbaka från och med den 31 augusti 2024 och dessa instanser bör migreras till stv2-beräkningsplattformen för fortsatt support. Läs mer på https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024	Granska, neka, inaktiverad	1.0.0
Lagringskonton ska migreras till nya Azure Resource Manager-resurser	Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering	Granska, neka, inaktiverad	1.0.0
Virtuella datorer ska migreras till nya Azure Resource Manager-resurser	Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering	Granska, neka, inaktiverad	1.0.0

Garantera säker livscykelhantering för tillgångar

ID: Microsoft cloud security benchmark AM-3 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten	Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk för din organisation. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som kan ha lämnats aktiva av misstag. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen.	AuditIfNotExists, inaktiverad	1.0.1

Använd endast godkända program på en virtuell dator

ID: Microsoft cloud security benchmark AM-5 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer	Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program.	AuditIfNotExists, inaktiverad	3.0.0
Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras	Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper.	AuditIfNotExists, inaktiverad	3.0.0

Loggning och hotidentifiering

Aktivera funktioner för hotidentifiering

ID: Microsoft cloud security benchmark LT-1 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat	Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, inaktiverad	6.0.0-preview
Azure Defender för App Service ska vara aktiverat	Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för Key Vault ska vara aktiverat	Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för Resource Manager ska vara aktiverat	Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center .	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för servrar ska vara aktiverat	Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar	Granska SQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade postgreSQL-flexibla servrar	Granska flexibla PostgreSQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances	Granska varje SQL Managed Instance utan avancerad datasäkerhet.	AuditIfNotExists, inaktiverad	1.0.2
Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad	Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks	Granskning, inaktiverad	2.0.1
Microsoft Defender CSPM bör vara aktiverat	Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för API:er ska vara aktiverat	Microsoft Defender för API:er ger ny identifiering, skydd, identifiering och svarstäckning för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer.	AuditIfNotExists, inaktiverad	1.0.3
Microsoft Defender för containrar ska vara aktiverat	Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL ska vara aktiverat för oskyddade Synapse-arbetsytor	Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL-status bör skyddas för Arc-aktiverade SQL-servrar	Microsoft Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser, identifiera och klassificera känsliga data. När den är aktiverad anger skyddsstatusen att resursen övervakas aktivt. Även när Defender är aktiverat bör flera konfigurationsinställningar verifieras på agenten, datorn, arbetsytan och SQL-servern för att säkerställa aktivt skydd.	Granskning, inaktiverad	1.0.1
Microsoft Defender för Storage ska vara aktiverat	Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader.	AuditIfNotExists, inaktiverad	1.0.0
Automatisk konfiguration av SQL Server-mål ska aktiveras för SQL-servrar på en datorplan	Se till att dina virtuella SQL-datorer och Arc-aktiverade SQL-servrar skyddas genom att se till att DEN SQL-riktade Azure Monitoring Agent har konfigurerats för att distribueras automatiskt. Detta är också nödvändigt om du tidigare har konfigurerat automatisk avetablering av Microsoft Monitoring Agent, eftersom komponenten håller på att bli inaktuell. Lära sig mer: https://aka.ms/SQLAMAMigration	AuditIfNotExists, inaktiverad	1.0.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer	Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows).	AuditIfNotExists, inaktiverad	2.0.0

Aktivera hotidentifiering för identitets- och åtkomsthantering

ID: Microsoft cloud security benchmark LT-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat	Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, inaktiverad	6.0.0-preview
Azure Defender för App Service ska vara aktiverat	Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för Key Vault ska vara aktiverat	Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för Resource Manager ska vara aktiverat	Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center .	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för servrar ska vara aktiverat	Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar	Granska SQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade postgreSQL-flexibla servrar	Granska flexibla PostgreSQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances	Granska varje SQL Managed Instance utan avancerad datasäkerhet.	AuditIfNotExists, inaktiverad	1.0.2
Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad	Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks	Granskning, inaktiverad	2.0.1
Microsoft Defender CSPM bör vara aktiverat	Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för containrar ska vara aktiverat	Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL ska vara aktiverat för oskyddade Synapse-arbetsytor	Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL-status bör skyddas för Arc-aktiverade SQL-servrar	Microsoft Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser, identifiera och klassificera känsliga data. När den är aktiverad anger skyddsstatusen att resursen övervakas aktivt. Även när Defender är aktiverat bör flera konfigurationsinställningar verifieras på agenten, datorn, arbetsytan och SQL-servern för att säkerställa aktivt skydd.	Granskning, inaktiverad	1.0.1
Microsoft Defender för Storage ska vara aktiverat	Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader.	AuditIfNotExists, inaktiverad	1.0.0
Automatisk konfiguration av SQL Server-mål ska aktiveras för SQL-servrar på en datorplan	Se till att dina virtuella SQL-datorer och Arc-aktiverade SQL-servrar skyddas genom att se till att DEN SQL-riktade Azure Monitoring Agent har konfigurerats för att distribueras automatiskt. Detta är också nödvändigt om du tidigare har konfigurerat automatisk avetablering av Microsoft Monitoring Agent, eftersom komponenten håller på att bli inaktuell. Lära sig mer: https://aka.ms/SQLAMAMigration	AuditIfNotExists, inaktiverad	1.0.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer	Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows).	AuditIfNotExists, inaktiverad	2.0.0

Aktivera loggning för säkerhetsundersökning

ID: Microsoft cloud security benchmark LT-3 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar ska ha resursloggar aktiverade	Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats.	AuditIfNotExists, inaktiverad	2.0.1
Granskning på SQL-servern ska vara aktiverad	Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg.	AuditIfNotExists, inaktiverad	2.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Azure Databricks-arbetsytor ska vara aktiverade	Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras.	AuditIfNotExists, inaktiverad	1.0.1
Resursloggar i Azure Kubernetes Service ska vara aktiverade	Azure Kubernetes Service-resursloggar kan hjälpa till att återskapa aktivitetsspår när du undersöker säkerhetsincidenter. Aktivera den för att se till att loggarna finns när det behövs	AuditIfNotExists, inaktiverad	1.0.0
Resursloggar i Azure Machine Learning-arbetsytor ska vara aktiverade	Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras.	AuditIfNotExists, inaktiverad	1.0.1
Resursloggar i Azure Stream Analytics ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Batch-konton ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Händelsehubb ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i IoT Hub ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	3.1.0
Resursloggar i Key Vault ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Logic Apps ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.1.0
Resursloggar i tjänsten Search ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Service Bus ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0

Aktivera nätverksloggning för säkerhetsundersökning

ID: Microsoft cloud security benchmark LT-4 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer	Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot.	AuditIfNotExists, inaktiverad	1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer	Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot.	AuditIfNotExists, inaktiverad	1.0.2-förhandsversion

Centralisera hantering och analys av säkerhetsloggar

ID: Microsoft cloud security benchmark LT-5 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer	Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat.	AuditIfNotExists, inaktiverad	1.0.1-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer	Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat.	AuditIfNotExists, inaktiverad	1.0.1-förhandsversion
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration	För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas.	AuditIfNotExists, inaktiverad	1.0.1
Linux-datorer bör ha Log Analytics-agent installerad på Azure Arc	Datorer är inkompatibla om Log Analytics-agenten inte är installerad på Azure Arc-aktiverad Linux-server.	AuditIfNotExists, inaktiverad	1.1.0
Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning	Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot	AuditIfNotExists, inaktiverad	1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning	Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot.	AuditIfNotExists, inaktiverad	1.0.0
Windows-datorer bör ha Log Analytics-agent installerad på Azure Arc	Datorer är inkompatibla om Log Analytics-agenten inte är installerad på Azure Arc-aktiverad Windows-server.	AuditIfNotExists, inaktiverad	2.0.0

Konfigurera kvarhållning av logglagring

ID: Microsoft cloud security benchmark LT-6 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare	I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder.	AuditIfNotExists, inaktiverad	3.0.0

Incidentsvar

Förberedelse – meddelande om konfigurationsincident

ID: Microsoft cloud security benchmark IR-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat	Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer.	AuditIfNotExists, inaktiverad	1.1.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras	För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center.	AuditIfNotExists, inaktiverad	2.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem	För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center.	AuditIfNotExists, inaktiverad	1.0.1

Identifiering och analys – skapa incidenter baserat på aviseringar av hög kvalitet

ID: Microsoft cloud security benchmark IR-3 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för App Service ska vara aktiverat	Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för Key Vault ska vara aktiverat	Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för Resource Manager ska vara aktiverat	Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center .	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för servrar ska vara aktiverat	Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar	Granska SQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade postgreSQL-flexibla servrar	Granska flexibla PostgreSQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances	Granska varje SQL Managed Instance utan avancerad datasäkerhet.	AuditIfNotExists, inaktiverad	1.0.2
Microsoft Defender CSPM bör vara aktiverat	Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för API:er ska vara aktiverat	Microsoft Defender för API:er ger ny identifiering, skydd, identifiering och svarstäckning för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer.	AuditIfNotExists, inaktiverad	1.0.3
Microsoft Defender för containrar ska vara aktiverat	Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL ska vara aktiverat för oskyddade Synapse-arbetsytor	Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL-status bör skyddas för Arc-aktiverade SQL-servrar	Microsoft Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser, identifiera och klassificera känsliga data. När den är aktiverad anger skyddsstatusen att resursen övervakas aktivt. Även när Defender är aktiverat bör flera konfigurationsinställningar verifieras på agenten, datorn, arbetsytan och SQL-servern för att säkerställa aktivt skydd.	Granskning, inaktiverad	1.0.1
Microsoft Defender för Storage ska vara aktiverat	Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader.	AuditIfNotExists, inaktiverad	1.0.0
Automatisk konfiguration av SQL Server-mål ska aktiveras för SQL-servrar på en datorplan	Se till att dina virtuella SQL-datorer och Arc-aktiverade SQL-servrar skyddas genom att se till att DEN SQL-riktade Azure Monitoring Agent har konfigurerats för att distribueras automatiskt. Detta är också nödvändigt om du tidigare har konfigurerat automatisk avetablering av Microsoft Monitoring Agent, eftersom komponenten håller på att bli inaktuell. Lära sig mer: https://aka.ms/SQLAMAMigration	AuditIfNotExists, inaktiverad	1.0.0

Identifiering och analys – undersöka en incident

ID: Microsoft cloud security benchmark IR-4 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Network Watcher ska vara aktiverat	Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region.	AuditIfNotExists, inaktiverad	3.0.0

Identifiering och analys – prioritera incidenter

ID: AMicrosoft cloud security benchmark IR-5 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för App Service ska vara aktiverat	Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för Key Vault ska vara aktiverat	Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för Resource Manager ska vara aktiverat	Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center .	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för servrar ska vara aktiverat	Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar	Granska SQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade postgreSQL-flexibla servrar	Granska flexibla PostgreSQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances	Granska varje SQL Managed Instance utan avancerad datasäkerhet.	AuditIfNotExists, inaktiverad	1.0.2
Microsoft Defender CSPM bör vara aktiverat	Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för API:er ska vara aktiverat	Microsoft Defender för API:er ger ny identifiering, skydd, identifiering och svarstäckning för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer.	AuditIfNotExists, inaktiverad	1.0.3
Microsoft Defender för containrar ska vara aktiverat	Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL ska vara aktiverat för oskyddade Synapse-arbetsytor	Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för SQL-status bör skyddas för Arc-aktiverade SQL-servrar	Microsoft Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser, identifiera och klassificera känsliga data. När den är aktiverad anger skyddsstatusen att resursen övervakas aktivt. Även när Defender är aktiverat bör flera konfigurationsinställningar verifieras på agenten, datorn, arbetsytan och SQL-servern för att säkerställa aktivt skydd.	Granskning, inaktiverad	1.0.1
Microsoft Defender för Storage ska vara aktiverat	Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader.	AuditIfNotExists, inaktiverad	1.0.0
Automatisk konfiguration av SQL Server-mål ska aktiveras för SQL-servrar på en datorplan	Se till att dina virtuella SQL-datorer och Arc-aktiverade SQL-servrar skyddas genom att se till att DEN SQL-riktade Azure Monitoring Agent har konfigurerats för att distribueras automatiskt. Detta är också nödvändigt om du tidigare har konfigurerat automatisk avetablering av Microsoft Monitoring Agent, eftersom komponenten håller på att bli inaktuell. Lära sig mer: https://aka.ms/SQLAMAMigration	AuditIfNotExists, inaktiverad	1.0.0

Status- och sårbarhetshantering

Granska och framtvinga säkra konfigurationer

ID: Microsoft cloud security benchmark PV-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat.	Granskning, inaktiverad	3.1.0-inaktuell
API Management-slutpunkten för direkthantering bör inte vara aktiverad	Rest-API:et för direkthantering i Azure API Management kringgår rollbaserade åtkomstkontrolls-, auktoriserings- och begränsningsmekanismer i Azure Resource Manager, vilket ökar sårbarheten för din tjänst.	Granska, inaktiverad, Neka	1.0.2
API Management lägsta API-version ska anges till 2019-12-01 eller senare	För att förhindra att tjänsthemligheter delas med skrivskyddade användare bör den lägsta API-versionen anges till 2019-12-01 eller senare.	Granska, neka, inaktiverad	1.0.1
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1.	AuditIfNotExists, inaktiverad	1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat	Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av.	AuditIfNotExists, inaktiverad	2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar	Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app.	AuditIfNotExists, inaktiverad	2.0.0
Azure API Management-plattformsversionen ska vara stv2	Azure API Management stv1-beräkningsplattformsversionen dras tillbaka från och med den 31 augusti 2024 och dessa instanser bör migreras till stv2-beräkningsplattformen för fortsatt support. Läs mer på https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024	Granska, neka, inaktiverad	1.0.0
Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat	Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc.	AuditIfNotExists, inaktiverad	1.1.0
Azure Machine Learning-beräkningsinstanser bör återskapas för att få de senaste programuppdateringarna	Se till att Azure Machine Learning-beräkningsinstanser körs på det senaste tillgängliga operativsystemet. Säkerheten förbättras och säkerhetsrisker minskas genom att köras med de senaste säkerhetskorrigeringarna. Mer information finns på https://aka.ms/azureml-ci-updates/.	[parameters('effects')]	1.0.3
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster	Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt.	Granskning, inaktiverad	1.0.2
Funktionsappar bör ha fjärrfelsökning inaktiverat	Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av.	AuditIfNotExists, inaktiverad	2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar	Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen.	AuditIfNotExists, inaktiverad	2.0.0
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna	Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.2.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde	Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler	Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner	Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar	Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.2.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem	Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.2.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar	Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er	Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall	Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar	Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Kubernetes-kluster bör inte tillåta privilegierade containrar	Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter	Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	4.1.0
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier	Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner	Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Kubernetes-kluster bör inte använda standardnamnområdet	Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	4.1.0

Granska och framtvinga säkra konfigurationer för beräkningsresurser

ID: Microsoft cloud security benchmark PV-4 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Azure Stack HCI-servrar bör ha konsekvent framtvingade principer för programkontroll	Tillämpa minst Microsoft WDAC-basprincipen i framtvingat läge på alla Azure Stack HCI-servrar. Tillämpade WDAC-principer (Windows Defender Application Control) måste vara konsekventa mellan servrar i samma kluster.	Audit, Disabled, AuditIfNotExists	1.0.0-preview
[Förhandsversion]: Azure Stack HCI-servrar bör uppfylla kraven för säkra kärnor	Se till att alla Azure Stack HCI-servrar uppfyller kraven för skyddad kärna. Så här aktiverar du serverkraven för säkra kärnor: 1. På sidan Azure Stack HCI-kluster går du till Administrationscenter för Windows och väljer Anslut. 2. Gå till säkerhetstillägget och välj Secured-core. 3. Välj valfri inställning som inte är aktiverad och klicka på Aktivera.	Audit, Disabled, AuditIfNotExists	1.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds	Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer.	AuditIfNotExists, inaktiverad	6.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds	Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux.	AuditIfNotExists, inaktiverad	5.1.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds	Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt.	AuditIfNotExists, inaktiverad	4.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds	Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer.	AuditIfNotExists, inaktiverad	3.1.0-preview
[Förhandsversion]: Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter	Alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) måste signeras av betrodda utgivare. Defender för molnet har identifierat ej betrodda operativsystemsstartkomponenter på en eller flera av dina Linux-datorer. Om du vill skydda dina datorer från potentiellt skadliga komponenter lägger du till dem i listan över tillåtna komponenter eller tar bort de identifierade komponenterna.	AuditIfNotExists, inaktiverad	1.0.0-preview
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds	Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt.	Granskning, inaktiverad	4.0.0-preview
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds	Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer.	Granskning, inaktiverad	2.0.0-preview
Gästkonfigurationstillägget ska installeras på dina datorer	Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol.	AuditIfNotExists, inaktiverad	1.0.3
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning	Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning.	AuditIfNotExists, inaktiverad	2.2.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet	Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol	AuditIfNotExists, inaktiverad	1.0.1
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen	Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning.	AuditIfNotExists, inaktiverad	2.0.0

Utföra sårbarhetsbedömningar

ID: Microsoft cloud security benchmark PV-5 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer	Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig.	AuditIfNotExists, inaktiverad	3.0.0
Datorer bör ha hemliga resultat lösta	Granskar virtuella datorer för att identifiera om de innehåller hemliga resultat från lösningarna för hemlig genomsökning på dina virtuella datorer.	AuditIfNotExists, inaktiverad	1.0.2
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance	Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar	Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	3.0.0

Åtgärda säkerhetsrisker snabbt och automatiskt

ID: Microsoft cloud security benchmark PV-6 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Systemuppdateringar bör installeras på dina datorer (drivs av Uppdateringscenter)	Dina datorer saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer.	AuditIfNotExists, inaktiverad	1.0.0-preview
Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)	Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen.	AuditIfNotExists, inaktiverad	1.0.1
Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)	Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar.	AuditIfNotExists, inaktiverad	1.0.1
Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas	För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Granska, neka, inaktiverad	3.7.0
SQL-databaser bör lösa sårbarhetsresultat	Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen.	AuditIfNotExists, inaktiverad	4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta	SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus.	AuditIfNotExists, inaktiverad	1.0.0
Systemuppdateringar på vm-skalningsuppsättningar ska installeras	Granska om det finns några saknade systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningar för virtuella Windows- och Linux-datorer är säkra.	AuditIfNotExists, inaktiverad	3.0.0
Systemuppdateringar bör installeras på dina datorer	Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	4.0.0
Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas	Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center.	AuditIfNotExists, inaktiverad	3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas	Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.1.0
Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas	Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker.	AuditIfNotExists, inaktiverad	3.0.0

Slutpunktssäkerhet

Använda slutpunktsidentifiering och -svar (Identifiering och åtgärd på slutpunkt)

ID: Microsoft cloud security benchmark ES-1 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för servrar ska vara aktiverat	Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter.	AuditIfNotExists, inaktiverad	1.0.3

Använda modern programvara mot skadlig kod

ID: Microsoft cloud security benchmark ES-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Problem med slutpunktsskyddshälsa bör lösas på dina datorer	Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists, inaktiverad	1.0.0
Slutpunktsskydd ska installeras på dina datorer	Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter.	AuditIfNotExists, inaktiverad	1.0.0
Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar	Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter.	AuditIfNotExists, inaktiverad	3.0.0
Övervaka saknat Endpoint Protection i Azure Security Center	Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.0.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer	Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows).	AuditIfNotExists, inaktiverad	2.0.0

Se till att programvara och signaturer mot skadlig kod uppdateras

ID: Microsoft cloud security benchmark ES-3 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Problem med slutpunktsskyddshälsa bör lösas på dina datorer	Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists, inaktiverad	1.0.0

Säkerhetskopiering och återställning

Se till att regelbundna automatiserade säkerhetskopieringar

ID: Microsoft Cloud Security Benchmark BR-1 Ägarskap: Delat

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer	Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure.	AuditIfNotExists, inaktiverad	3.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB	Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL	Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL	Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1

Skydda säkerhetskopierings- och återställningsdata

ID: Microsoft cloud security benchmark BR-2 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer	Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure.	AuditIfNotExists, inaktiverad	3.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB	Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL	Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL	Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1

DevOps-säkerhet

Framtvinga arbetsbelastningssäkerhet i hela DevOps-livscykeln

ID: Microsoft cloud security benchmark DS-6 Ownership: Shared

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)	Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen.	AuditIfNotExists, inaktiverad	1.0.1
Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)	Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar.	AuditIfNotExists, inaktiverad	1.0.1
Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas	Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center.	AuditIfNotExists, inaktiverad	3.0.0

Nästa steg

Ytterligare artiklar om Azure Policy:

Översikt över regelefterlevnad .
Se initiativdefinitionsstrukturen.
Granska andra exempel i Azure Policy-exempel.
Granska Förstå policy-effekter.
Lär dig hur du åtgärdar icke-kompatibla resurser.