Information om CIS Microsoft Azure Foundations Benchmark 1.4.0 Inbyggt initiativ för regelefterlevnad
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i CIS Microsoft Azure Foundations Benchmark 1.4.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark 1.4.0. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.
Följande mappningar är till CIS Microsoft Azure Foundations Benchmark 1.4.0-kontroller . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen CIS Microsoft Azure Foundations Benchmark v1.4.0 Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
1 Identitets- och åtkomsthantering
Se till att "Multi-Factor Auth Status" är "Aktiverad" för alla privilegierade användare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan lägga till galleriappar i Mina appar" är inställt på Nej
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.10 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan registrera program" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.11 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Se till att "Åtkomstbegränsningar för gästanvändare" är inställt på "Gästanvändaråtkomst är begränsad till egenskaper och medlemskap för sina egna katalogobjekt".
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.12 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
| Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att "Begränsningar för gästbjudning" är inställt på "Endast användare som har tilldelats till specifika administratörsroller kan bjuda in gästanvändare"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.13 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
| Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att "Begränsa åtkomsten till Azure AD-administrationsportalen" är inställd på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.14 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att "Begränsa användarens möjlighet att komma åt gruppfunktioner i åtkomstfönstret" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.15 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan skapa säkerhetsgrupper i Azure Portal, API eller PowerShell" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.16 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Kontrollera att "Ägare kan hantera begäranden om gruppmedlemskap i Åtkomstpanelen" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.17 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan skapa Microsoft 365-grupper i Azure Portal, API eller PowerShell" är inställt på Nej
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.18 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att "Kräv multifaktorautentisering för att registrera eller ansluta enheter med Azure AD" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.19 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
| Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Dokumentera mobilitetsträning | CMA_0191 – Utbildning i dokumentmobilitet | Manuell, inaktiverad | 1.1.0 |
| Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
| Uppfylla kvalitetskraven för token | CMA_0487 – Uppfylla kvalitetskraven för token | Manuell, inaktiverad | 1.1.0 |
Se till att multifaktorautentiseringsstatusen är aktiverad för alla icke-privilegierade användare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att inga ägarroller för anpassade prenumerationer har skapats
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.20 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
| Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Kontrollera att säkerhetsstandarder är aktiverade i Azure Active Directory
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.21 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
| Autentisera till kryptografisk modul | CMA_0021 – Autentisera till kryptografisk modul | Manuell, inaktiverad | 1.1.0 |
| Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Dokumentera mobilitetsträning | CMA_0191 – Utbildning i dokumentmobilitet | Manuell, inaktiverad | 1.1.0 |
| Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
| Uppfylla kvalitetskraven för token | CMA_0487 – Uppfylla kvalitetskraven för token | Manuell, inaktiverad | 1.1.0 |
Kontrollera att en anpassad roll har tilldelats behörigheter för att administrera resurslås
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.22 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att gästanvändare granskas varje månad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Tilldela om eller ta bort användarbehörigheter efter behov | CMA_C1040 – Tilldela om eller ta bort användarbehörigheter efter behov | Manuell, inaktiverad | 1.1.0 |
| Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
| Granska användarkonton | CMA_0480 – Granska användarkonton | Manuell, inaktiverad | 1.1.0 |
| Granska användarbehörigheter | CMA_C1039 – Granska användarbehörigheter | Manuell, inaktiverad | 1.1.0 |
Se till att "Återställ multifaktorautentisering på alla ihågkomna enheter" är aktiverad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.4 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Uppfylla kvalitetskraven för token | CMA_0487 – Uppfylla kvalitetskraven för token | Manuell, inaktiverad | 1.1.0 |
Se till att "Antal dagar innan användarna uppmanas att bekräfta sin autentiseringsinformation" inte är inställt på "0"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Se till att "Meddela användare om lösenordsåterställning?" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Implementera utbildning för att skydda autentiserare | CMA_0329 – Implementera utbildning för att skydda autentiserare | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Se till att "Meddela alla administratörer när andra administratörer återställer sitt lösenord?" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.8 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Implementera utbildning för att skydda autentiserare | CMA_0329 – Implementera utbildning för att skydda autentiserare | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Övervaka privilegierad rolltilldelning | CMA_0378 – Övervaka privilegierad rolltilldelning | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
| Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
| Använda privilegierad identitetshantering | CMA_0533 – Använda privilegierad identitetshantering | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan godkänna att appar får åtkomst till företagsdata för deras räkning" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.9 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
2 Microsoft Defender för molnet
Kontrollera att Microsoft Defender för servrar är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att mcas-integrering (Microsoft Defender för molnet Apps) med Microsoft Defender för molnet är markerad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.10 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Se till att automatisk etablering av Log Analytics-agenten för virtuella Azure-datorer är inställd på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.11 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentsäkerhetsåtgärder | CMA_0202 – Dokumentsäkerhetsåtgärder | Manuell, inaktiverad | 1.1.0 |
| Aktivera sensorer för slutpunktssäkerhetslösning | CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning | Manuell, inaktiverad | 1.1.0 |
Kontrollera att någon av ASC:s standardprincipinställningar inte är inställd på "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.12 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera åtgärder för inkompatibla enheter | CMA_0062 – Konfigurera åtgärder för inkompatibla enheter | Manuell, inaktiverad | 1.1.0 |
| Utveckla och underhålla baslinjekonfigurationer | CMA_0153 – Utveckla och underhålla baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
| Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta en kontrolltavla för konfiguration | CMA_0254 – Upprätta en kontrolltavla för konfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera en konfigurationshanteringsplan | CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
| Implementera ett automatiserat konfigurationshanteringsverktyg | CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg | Manuell, inaktiverad | 1.1.0 |
Se till att "Ytterligare e-postadresser" har konfigurerats med en e-postadress för säkerhetskontakt
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.13 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Se till att "Meddela om aviseringar med följande allvarlighetsgrad" är inställt på "Hög"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.14 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
Kontrollera att Microsoft Defender för App Service är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för Azure SQL Databases är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för SQL-servrar på datorer är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för Storage är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för Kubernetes är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för containerregister är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för Key Vault är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.8 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Se till att Microsoft Defender för Endpoint(WDATP)-integrering med Microsoft Defender för molnet har valts
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.9 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
3 lagringskonton
Kontrollera att "Säker överföring krävs" är inställd på "Aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
Kontrollera att lagringsloggning är aktiverad för Blob Service för "Read", "Write" och "Delete"-begäranden
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.10 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att lagringsloggning är aktiverat för Table Service för "Read", "Write" och "Delete"-begäranden
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.11 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att "Lägsta TLS-version" är inställd på "Version 1.2"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.12 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Se till att åtkomstnycklar för lagringskontot återskapas regelbundet
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att lagringsloggning är aktiverad för kötjänsten för "Läs", "Skriv" och "Ta bort"-begäranden
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Se till att signaturtoken för delad åtkomst upphör att gälla inom en timme
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Inaktivera autentiserare vid avslutning | CMA_0169 – Inaktivera autentisering vid avslutning | Manuell, inaktiverad | 1.1.0 |
| Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
| Avsluta användarsession automatiskt | CMA_C1054 – Avsluta användarsessionen automatiskt | Manuell, inaktiverad | 1.1.0 |
Se till att "offentlig åtkomstnivå" är inställd på Privat för blobcontainrar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att standardregeln för nätverksåtkomst för lagringskonton är inställd på Neka
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
Kontrollera att "Betrodda Microsoft-tjänster" är aktiverade för åtkomst till lagringskonto
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
| Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
| Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
Se till att lagring för kritiska data krypteras med kundhanterade nycklar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.9 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
4 Databastjänster
Kontrollera att "Granskning" är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att "Datakryptering" är inställt på "På" i en SQL Database
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
Se till att kvarhållningen av granskning är "större än 90 dagar"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera att Advanced Threat Protection (ATP) på en SQL Server är inställt på "Aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
Kontrollera att sårbarhetsbedömning (VA) är aktiverat på en SQL-server genom att ange ett lagringskonto
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera att VA-inställningen "Periodiska återkommande genomsökningar" till "på" för varje SQL-server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Kontrollera att VA-inställningen "Skicka genomsökningsrapporter till" har konfigurerats för en SQL-server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Korrelera information om sårbarhetsgenomsökning | CMA_C1558 – Korrelera information om sårbarhetsgenomsökning | Manuell, inaktiverad | 1.1.1 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att inställningen För sårbarhetsbedömning "Skicka även e-postmeddelanden till administratörer och prenumerationsägare" är inställd för varje SQL Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Korrelera information om sårbarhetsgenomsökning | CMA_C1558 – Korrelera information om sårbarhetsgenomsökning | Manuell, inaktiverad | 1.1.1 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att "Framtvinga SSL-anslutning" är inställt på "ENABLED" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_checkpoints" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_connections" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_disconnections" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Frånkopplingar ska loggas för PostgreSQL-databasservrar. | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverat. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "connection_throttling" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Anslutningsbegränsning ska vara aktiverat för PostgreSQL-databasservrar | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att anslutningsbegränsning har aktiverats. Den här inställningen möjliggör tillfällig anslutningsbegränsning per IP-adress för för många ogiltiga inloggningsfel för lösenord. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_retention_days" är större än 3 dagar för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
Se till att "Tillåt åtkomst till Azure-tjänster" för PostgreSQL Database Server är inaktiverat
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
| Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
| Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
Se till att "Infrastruktur dubbelkryptering" för PostgreSQL-databasservern är "aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.8 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
Se till att "Framtvinga SSL-anslutning" är inställt på "Aktiverad" för Standard MySQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att TLS-versionen är inställd på TLSV1.2 för MySQL – flexibel databasserver
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Azure Active Directory-administratören är konfigurerad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Kontrollera att SQL-serverns TDE-skydd är krypterat med kundhanterad nyckel
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
5 Loggning och övervakning
Kontrollera att det finns en diagnostikinställning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
Se till att diagnostikinställningen samlar in lämpliga kategorier
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Se till att lagringscontainern som lagrar aktivitetsloggarna inte är offentligt tillgänglig
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Aktivera dubbel eller gemensam auktorisering | CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering | Manuell, inaktiverad | 1.1.0 |
| Skydda granskningsinformation | CMA_0401 – Skydda granskningsinformation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att lagringskontot som innehåller containern med aktivitetsloggar är krypterat med BYOK (Använd din egen nyckel)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aktivera dubbel eller gemensam auktorisering | CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering | Manuell, inaktiverad | 1.1.0 |
| Upprätthålla integriteten i granskningssystemet | CMA_C1133 – Upprätthålla integriteten i granskningssystemet | Manuell, inaktiverad | 1.1.0 |
| Skydda granskningsinformation | CMA_0401 – Skydda granskningsinformation | Manuell, inaktiverad | 1.1.0 |
| Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK | Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att loggning för Azure KeyVault är "Aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa principtilldelning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för borttagning av principtilldelning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för skapa eller uppdatera nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för Ta bort nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för skapa eller uppdatera nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggaviseringen finns för regeln Ta bort nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera säkerhetslösningen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för ta bort säkerhetslösning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.8 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera eller ta bort SQL Server-brandväggsregeln
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.9 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att diagnostikloggar är aktiverade för alla tjänster som stöder det.
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
6 Nätverk
Se till att inga SQL-databaser tillåter ingress 0.0.0.0/0 (IP-adresser)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
Se till att kvarhållningsperioden för nätverkssäkerhetsgruppflödesloggen är "större än 90 dagar"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Network Watcher är "Aktiverat"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Verifiera säkerhetsfunktioner | CMA_C1708 – Verifiera säkerhetsfunktioner | Manuell, inaktiverad | 1.1.0 |
7 virtuella datorer
Se till att virtuella datorer använder hanterade diskar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer som inte använder hanterade diskar | Den här principen granskar virtuella datorer som inte använder hanterade diskar | granska | 1.0.0 |
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
| Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Kontrollera att os- och datadiskar är krypterade med kundhanterad nyckel (CMK)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
Kontrollera att "Ej anslutna diskar" är krypterade med CMK
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
Se till att endast godkända tillägg är installerade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Endast godkända VM-tillägg ska installeras | Den här principen styr de tillägg för virtuella datorer som inte är godkända. | Granska, neka, inaktiverad | 1.0.0 |
Se till att de senaste OS-korrigeringarna för alla virtuella datorer tillämpas
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att slutpunktsskyddet för alla virtuella datorer är installerat
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Dokumentsäkerhetsåtgärder | CMA_0202 – Dokumentsäkerhetsåtgärder | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Aktivera sensorer för slutpunktssäkerhetslösning | CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
| Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
Kontrollera att virtuella hårddiskar är krypterade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
8 Andra säkerhetsöverväganden
Kontrollera att förfallodatumet har angetts för alla nycklar i RBAC Key Vaults
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att förfallodatumet har angetts för alla nycklar i icke-RBAC-nyckelvalv.
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att förfallodatumet har angetts för alla hemligheter i RBAC Key Vaults
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att förfallodatumet har angetts för alla hemligheter i nyckelvalv som inte är RBAC
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Se till att resurslås har angetts för Verksamhetskritiska Azure-resurser
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Kontrollera att nyckelvalvet kan återställas
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.6 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Underhålla tillgängligheten för information | CMA_C1644 – Upprätthålla tillgängligheten för information | Manuell, inaktiverad | 1.1.0 |
Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
| Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.4 |
9 AppService
Kontrollera att App Service-autentisering har konfigurerats för appar i Azure App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.1 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar ska ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Autentisera till kryptografisk modul | CMA_0021 – Autentisera till kryptografisk modul | Manuell, inaktiverad | 1.1.0 |
| Framtvinga användar unikhet | CMA_0250 – Framtvinga användar unikhet | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | CMA_0507 – Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | Manuell, inaktiverad | 1.1.0 |
Kontrollera att FTP-distributioner är inaktiverade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.10 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Azure Keyvaults används för att lagra hemligheter
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.11 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Se till att kryptografiska mekanismer är under konfigurationshantering | CMA_C1199 – Se till att kryptografiska mekanismer är under konfigurationshantering | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Underhålla tillgängligheten för information | CMA_C1644 – Upprätthålla tillgängligheten för information | Manuell, inaktiverad | 1.1.0 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Se till att webbappen omdirigerar all HTTP-trafik till HTTPS i Azure App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.2 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Web App använder den senaste versionen av TLS-kryptering
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.3 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att webbappen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.4 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
| App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Autentisera till kryptografisk modul | CMA_0021 – Autentisera till kryptografisk modul | Manuell, inaktiverad | 1.1.0 |
Se till att Registrera med Azure Active Directory är aktiverat i App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.5 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Se till att PHP-versionen är den senaste, om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.6 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att Python-versionen är den senaste stabila versionen om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.7 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att Java-versionen är den senaste, om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.8 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att HTTP-versionen är den senaste, om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.9 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.