Information om CIS Microsoft Azure Foundations Benchmark 2.0.0 Inbyggt initiativ för regelefterlevnad
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i CIS Microsoft Azure Foundations Benchmark 2.0.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark 2.0.0. Information om ägarskap finns i Principdefinition för Azure Policy och Delat ansvar i molnet.
Följande mappningar är till CIS Microsoft Azure Foundations Benchmark 2.0.0-kontroller . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen CIS Microsoft Azure Foundations Benchmark v2.0.0 Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
1,1
Kontrollera att säkerhetsstandarder är aktiverade i Azure Active Directory
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
| Autentisera till kryptografisk modul | CMA_0021 – Autentisera till kryptografisk modul | Manuell, inaktiverad | 1.1.0 |
| Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Dokumentera mobilitetsträning | CMA_0191 – Utbildning i dokumentmobilitet | Manuell, inaktiverad | 1.1.0 |
| Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
| Uppfylla kvalitetskraven för token | CMA_0487 – Uppfylla kvalitetskraven för token | Manuell, inaktiverad | 1.1.0 |
Se till att "Multi-Factor Auth Status" är "Aktiverad" för alla privilegierade användare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Se till att multifaktorautentiseringsstatusen är aktiverad för alla icke-privilegierade användare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Se till att "Tillåt användare att komma ihåg multifaktorautentisering på enheter som de litar på" är Inaktiverad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Uppfylla kvalitetskraven för token | CMA_0487 – Uppfylla kvalitetskraven för token | Manuell, inaktiverad | 1.1.0 |
1
Se till att "Meddela alla administratörer när andra administratörer återställer sitt lösenord?" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.10 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Implementera utbildning för att skydda autentiserare | CMA_0329 – Implementera utbildning för att skydda autentiserare | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Övervaka privilegierad rolltilldelning | CMA_0378 – Övervaka privilegierad rolltilldelning | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
| Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
| Använda privilegierad identitetshantering | CMA_0533 – Använda privilegierad identitetshantering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att User consent for applications är inställt på Do not allow user consent
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.11 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan lägga till galleriappar i Mina appar" är inställt på Nej
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.13 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan registrera program" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.14 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Se till att "Åtkomstbegränsningar för gästanvändare" är inställt på "Gästanvändaråtkomst är begränsad till egenskaper och medlemskap för sina egna katalogobjekt"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.15 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
| Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att "Begränsningar för gästbjudning" är inställt på "Endast användare som har tilldelats till specifika administratörsroller kan bjuda in gästanvändare"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.16 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
| Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att "Begränsa åtkomsten till Azure AD-administrationsportalen" är inställd på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.17 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att "Begränsa användarens möjlighet att komma åt gruppfunktioner i åtkomstfönstret" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.18 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan skapa säkerhetsgrupper i Azure-portaler, API eller PowerShell" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.19 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Kontrollera att "Ägare kan hantera begäranden om gruppmedlemskap i Åtkomstpanelen" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.20 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att "Användare kan skapa Microsoft 365-grupper i Azure-portaler, API eller PowerShell" är inställt på "Nej"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.21 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att "Kräv multifaktorautentisering för att registrera eller ansluta enheter med Azure AD" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.22 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
| Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Dokumentera mobilitetsträning | CMA_0191 – Utbildning i dokumentmobilitet | Manuell, inaktiverad | 1.1.0 |
| Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
| Uppfylla kvalitetskraven för token | CMA_0487 – Uppfylla kvalitetskraven för token | Manuell, inaktiverad | 1.1.0 |
Kontrollera att det inte finns några administratörsroller för anpassad prenumeration
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.23 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
| Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Kontrollera att en anpassad roll har tilldelats behörigheter för att administrera resurslås
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.24 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Se till att gästanvändare granskas regelbundet
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Tilldela om eller ta bort användarbehörigheter efter behov | CMA_C1040 – Tilldela om eller ta bort användarbehörigheter efter behov | Manuell, inaktiverad | 1.1.0 |
| Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
| Granska användarkonton | CMA_0480 – Granska användarkonton | Manuell, inaktiverad | 1.1.0 |
| Granska användarbehörigheter | CMA_C1039 – Granska användarbehörigheter | Manuell, inaktiverad | 1.1.0 |
Se till att "Antal dagar innan användarna uppmanas att bekräfta sin autentiseringsinformation" inte är inställt på "0"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Se till att "Meddela användare om lösenordsåterställning?" är inställt på "Ja"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Implementera utbildning för att skydda autentiserare | CMA_0329 – Implementera utbildning för att skydda autentiserare | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
10
Kontrollera att resurslås har angetts för verksamhetskritiska Azure-resurser
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 10.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
2.1
Kontrollera att Microsoft Defender för servrar är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för Key Vault är inställt på "på"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.10 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för DNS är inställt på "på"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.11 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Azure Defender för DNS ska vara aktiverat | Den här principdefinitionen är inte längre det rekommenderade sättet att uppnå sin avsikt eftersom DNS-paketet är inaktuellt. I stället för att fortsätta använda den här principen rekommenderar vi att du tilldelar den här ersättningsprincipen med princip-ID 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Läs mer om utfasning av principdefinitioner på aka.ms/policydefdeprecation | AuditIfNotExists, inaktiverad | 1.1.0-inaktuell |
Kontrollera att Microsoft Defender för Resource Manager är inställt på "på"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.12 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att Microsoft Defender-rekommendationen för "Tillämpa systemuppdateringar" är "Slutförd"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.13 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas | För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Granska, neka, inaktiverad | 3.7.0 |
Se till att någon av ASC-standardprinciperna Inställningar inte är inställda på "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.14 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera åtgärder för inkompatibla enheter | CMA_0062 – Konfigurera åtgärder för inkompatibla enheter | Manuell, inaktiverad | 1.1.0 |
| Utveckla och underhålla baslinjekonfigurationer | CMA_0153 – Utveckla och underhålla baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
| Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta en kontrolltavla för konfiguration | CMA_0254 – Upprätta en kontrolltavla för konfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera en konfigurationshanteringsplan | CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
| Implementera ett automatiserat konfigurationshanteringsverktyg | CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg | Manuell, inaktiverad | 1.1.0 |
Se till att automatisk etablering av Log Analytics-agenten för virtuella Azure-datorer är inställd på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.15 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Dokumentsäkerhetsåtgärder | CMA_0202 – Dokumentsäkerhetsåtgärder | Manuell, inaktiverad | 1.1.0 |
| Aktivera sensorer för slutpunktssäkerhetslösning | CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning | Manuell, inaktiverad | 1.1.0 |
Se till att automatisk etablering av Komponenter för Microsoft Defender för containrar är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.17 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Se till att "Ytterligare e-postadresser" har konfigurerats med en e-postadress för säkerhetskontakt
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.19 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Se till att Microsoft Defender för App Services är inställt på "på"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Se till att "Meddela om aviseringar med följande allvarlighetsgrad" är inställt på "Hög"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.20 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.1.0 |
Se till att Microsoft Defender för molnet Apps-integrering med Microsoft Defender för molnet är markerad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.21 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för Endpoint-integrering med Microsoft Defender för molnet har valts
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.22 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för databaser är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för Azure Cosmos DB bör vara aktiverat | Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att Microsoft Defender för Azure SQL Databases är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för SQL-servrar på datorer är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Se till att Microsoft Defender för relationsdatabaser med öppen källkod är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att Microsoft Defender för lagring är inställt på "på"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för containrar är inställt på "på"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Microsoft Defender för Azure Cosmos DB är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Defender för Azure Cosmos DB bör vara aktiverat | Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | AuditIfNotExists, inaktiverad | 1.0.0 |
3
Kontrollera att "Säker överföring krävs" är inställd på "Aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
Se till att privata slutpunkter används för åtkomst till lagringskonton
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.10 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
Se till att lagring för kritiska data krypteras med kundhanterade nycklar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.12 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
Kontrollera att lagringsloggning är aktiverad för Blob Service för "Read", "Write" och "Delete"-begäranden
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.13 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att lagringsloggning är aktiverat för Table Service för "Read", "Write" och "Delete"-begäranden
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.14 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att "Lägsta TLS-version" för lagringskonton är inställt på "Version 1.2"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.15 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
| Lagringskonton bör ha den angivna lägsta TLS-versionen | Konfigurera en lägsta TLS-version för säker kommunikation mellan klientprogrammet och lagringskontot. För att minimera säkerhetsrisken är den rekommenderade lägsta TLS-versionen den senaste versionen, som för närvarande är TLS 1.2. | Granska, neka, inaktiverad | 1.0.0 |
Se till att "Aktivera infrastrukturkryptering" för varje lagringskonto i Azure Storage är inställt på "aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
Kontrollera att åtkomstnycklar för lagringskontot genereras regelbundet
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att lagringsloggning är aktiverad för kötjänsten för "Läs", "Skriv" och "Ta bort"-begäranden
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Se till att signaturtoken för delad åtkomst upphör att gälla inom en timme
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Inaktivera autentiserare vid avslutning | CMA_0169 – Inaktivera autentisering vid avslutning | Manuell, inaktiverad | 1.1.0 |
| Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
| Avsluta användarsession automatiskt | CMA_C1054 – Avsluta användarsessionen automatiskt | Manuell, inaktiverad | 1.1.0 |
Se till att "offentlig åtkomstnivå" är inaktiverad för lagringskonton med blobcontainrar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Se till att standardregeln för nätverksåtkomst för lagringskonton är inställd på Neka
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
Se till att "Tillåt azure-tjänster i listan över betrodda tjänster att komma åt det här lagringskontot" är aktiverat för åtkomst till lagringskonto
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
| Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
| Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
4.1
Kontrollera att "Granskning" är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Se till att inga Azure SQL-databaser tillåter ingress från 0.0.0.0/0 (IP-adresser)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
Se till att SQL-serverns transparent datakryptering (TDE)-skydd är krypterat med kundhanterad nyckel
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
Kontrollera att Azure Active Directory-administratören är konfigurerad för SQL-servrar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Kontrollera att "Datakryptering" är inställt på "På" i en SQL Database
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
Se till att kvarhållningen av granskning är "större än 90 dagar"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 3.0.0 |
4.2
Kontrollera att Microsoft Defender för SQL är inställt på "På" för kritiska SQL-servrar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
Kontrollera att sårbarhetsbedömning (VA) är aktiverat på en SQL-server genom att ange ett lagringskonto
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera att inställningen Sårbarhetsbedömning (VA) "Periodiska återkommande genomsökningar" är inställd på "på" för varje SQL-server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
Se till att inställningen För sårbarhetsbedömning (VA) "Skicka genomsökningsrapporter till" har konfigurerats för en SQL-server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Korrelera information om sårbarhetsgenomsökning | CMA_C1558 – Korrelera information om sårbarhetsgenomsökning | Manuell, inaktiverad | 1.1.1 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att inställningen Sårbarhetsbedömning (VA) "Skicka även e-postmeddelanden till administratörer och prenumerationsägare" har angetts för varje SQL Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Korrelera information om sårbarhetsgenomsökning | CMA_C1558 – Korrelera information om sårbarhetsgenomsökning | Manuell, inaktiverad | 1.1.1 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
4.3
Se till att "Framtvinga SSL-anslutning" är inställt på "ENABLED" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_checkpoints" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_connections" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_disconnections" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Frånkopplingar ska loggas för PostgreSQL-databasservrar. | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverat. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "connection_throttling" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Anslut begränsning ska aktiveras för PostgreSQL-databasservrar | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att Anslut begränsning aktiverat. Den här inställningen möjliggör tillfällig anslutningsbegränsning per IP-adress för för många ogiltiga inloggningsfel för lösenord. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att serverparametern "log_retention_days" är större än 3 dagar för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
Se till att "Tillåt åtkomst till Azure-tjänster" för PostgreSQL Database Server är inaktiverat
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
| Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
| Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 3.0.1 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
Se till att "Infrastruktur dubbelkryptering" för PostgreSQL-databasservern är "aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL-servrar | Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar | Granska, neka, inaktiverad | 1.0.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
4.4
Se till att "Framtvinga SSL-anslutning" är inställt på "Aktiverad" för Standard MySQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att TLS-versionen är inställd på TLSV1.2 för MySQL – flexibel databasserver
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
4,5
Se till att brandväggar och nätverk är begränsade till att använda valda nätverk i stället för alla nätverk
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.0.0 |
Se till att privata slutpunkter används där det är möjligt
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
Använd Azure Active Directory -klientautentisering (AAD) och Azure RBAC där det är möjligt.
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Granska, neka, inaktiverad | 1.1.0 |
5,1
Kontrollera att det finns en diagnostikinställning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
Se till att diagnostikinställningen samlar in lämpliga kategorier
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Se till att lagringscontainern som lagrar aktivitetsloggarna inte är offentligt tillgänglig
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Aktivera dubbel eller gemensam auktorisering | CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering | Manuell, inaktiverad | 1.1.0 |
| Skydda granskningsinformation | CMA_0401 – Skydda granskningsinformation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att lagringskontot som innehåller containern med aktivitetsloggar är krypterat med kundhanterad nyckel
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aktivera dubbel eller gemensam auktorisering | CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering | Manuell, inaktiverad | 1.1.0 |
| Upprätthålla integriteten i granskningssystemet | CMA_C1133 – Upprätthålla integriteten i granskningssystemet | Manuell, inaktiverad | 1.1.0 |
| Skydda granskningsinformation | CMA_0401 – Skydda granskningsinformation | Manuell, inaktiverad | 1.1.0 |
| Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK | Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att loggning för Azure Key Vault är "Aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
Se till att flödesloggar för nätverkssäkerhetsgrupp registreras och skickas till Log Analytics
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla flödesloggresurser ska vara i aktiverat tillstånd | Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverat. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| Granska flödesloggkonfiguration för varje virtuellt nätverk | Granska för virtuellt nätverk för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom det virtuella nätverket. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
5.2
Kontrollera att aktivitetsloggavisering finns för att skapa principtilldelning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för borttagning av principtilldelning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för skapa eller uppdatera nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för Ta bort nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera säkerhetslösningen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för ta bort säkerhetslösning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera SQL Server-brandväggsregeln
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Kontrollera att aktivitetsloggavisering finns för ta bort SQL Server-brandväggsregel
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
5
Se till att Azure Monitor-resursloggning är aktiverad för alla tjänster som stöder den
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
6
Se till att RDP-åtkomst från Internet utvärderas och begränsas
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att SSH-åtkomsten från Internet utvärderas och begränsas
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att kvarhållningsperioden för nätverkssäkerhetsgruppflödesloggen är "större än 90 dagar"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Network Watcher är "Aktiverat"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Verifiera säkerhetsfunktioner | CMA_C1708 – Verifiera säkerhetsfunktioner | Manuell, inaktiverad | 1.1.0 |
7
Se till att virtuella datorer använder hanterade diskar
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer som inte använder hanterade diskar | Den här principen granskar virtuella datorer som inte använder hanterade diskar | granska | 1.0.0 |
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
| Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Kontrollera att os- och datadiskar är krypterade med kundhanterad nyckel (CMK)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Kontrollera att "Ej anslutna diskar" är krypterade med "Kundhanterad nyckel" (CMK)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption. | Granska, neka, inaktiverad | 1.0.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
Se till att endast godkända tillägg är installerade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Endast godkända VM-tillägg ska installeras | Den här principen styr de tillägg för virtuella datorer som inte är godkända. | Granska, neka, inaktiverad | 1.0.0 |
Se till att Endpoint Protection för alla virtuella datorer är installerat
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Dokumentsäkerhetsåtgärder | CMA_0202 – Dokumentsäkerhetsåtgärder | Manuell, inaktiverad | 1.1.0 |
| Slutpunktsskydd ska installeras på dina datorer | Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Aktivera sensorer för slutpunktssäkerhetslösning | CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
| Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
[Äldre] Kontrollera att virtuella hårddiskar är krypterade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
8
Kontrollera att förfallodatumet har angetts för alla nycklar i RBAC Key Vaults
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att förfallodatumet har angetts för alla nycklar i icke-RBAC-nyckelvalv.
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att förfallodatumet har angetts för alla hemligheter i RBAC Key Vaults
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att förfallodatumet har angetts för alla hemligheter i nyckelvalv som inte är RBAC
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Nyckelvalvet kan återställas
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
Aktivera rollbaserad åtkomstkontroll för Azure Key Vault
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Key Vault bör använda RBAC-behörighetsmodellen | Aktivera RBAC-behörighetsmodell i Key Vaults. Läs mer på: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Granska, neka, inaktiverad | 1.0.1 |
Kontrollera att privata slutpunkter används för Azure Key Vault
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Se till att automatisk nyckelrotation är aktiverad i Azure Key Vault för de tjänster som stöds
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Nycklar bör ha en rotationsprincip som säkerställer att rotationen schemaläggs inom det angivna antalet dagar efter att de har skapats. | Hantera organisationens efterlevnadskrav genom att ange det maximala antalet dagar efter att nyckeln har skapats tills den måste roteras. | Granskning, inaktiverad | 1.0.0 |
9
Kontrollera att App Service-autentisering har konfigurerats för appar i Azure App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar ska ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Autentisera till kryptografisk modul | CMA_0021 – Autentisera till kryptografisk modul | Manuell, inaktiverad | 1.1.0 |
| Framtvinga användar unikhet | CMA_0250 – Framtvinga användar unikhet | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | CMA_0507 – Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | Manuell, inaktiverad | 1.1.0 |
Kontrollera att FTP-distributioner är inaktiverade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.10 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Se till att Azure Key Vaults används för att lagra hemligheter
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.11 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Se till att kryptografiska mekanismer är under konfigurationshantering | CMA_C1199 – Se till att kryptografiska mekanismer är under konfigurationshantering | Manuell, inaktiverad | 1.1.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Underhålla tillgängligheten för information | CMA_C1644 – Upprätthålla tillgängligheten för information | Manuell, inaktiverad | 1.1.0 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Se till att webbappen omdirigerar all HTTP-trafik till HTTPS i Azure App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att Web App använder den senaste versionen av TLS-kryptering
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Kontrollera att webbappen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: App Service-appar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
| [Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
| Autentisera till kryptografisk modul | CMA_0021 – Autentisera till kryptografisk modul | Manuell, inaktiverad | 1.1.0 |
Se till att Registrera med Azure Active Directory är aktiverat i App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Se till att PHP-versionen är den senaste, om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appfack som använder PHP bör använda en angiven "PHP-version" | Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar som använder PHP bör använda en angiven "PHP-version" | Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att Python-versionen är den senaste stabila versionen om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appfack som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att Java-versionen är den senaste, om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Funktionsappplatser som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Se till att HTTP-versionen är den senaste, om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.