Information om CIS Microsoft Azure Foundations Benchmark 2.0.0 Inbyggt initiativ för regelefterlevnad

Artikel
10/30/2024

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i CIS Microsoft Azure Foundations Benchmark 2.0.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark 2.0.0. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.

Följande mappningar är till CIS Microsoft Azure Foundations Benchmark 2.0.0-kontroller . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen CIS Microsoft Azure Foundations Benchmark v2.0.0 Regulatory Compliance.

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

1,1

Kontrollera att säkerhetsstandarder är aktiverade i Azure Active Directory

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Använda mekanismer för biometrisk autentisering	CMA_0005 – Använda mekanismer för biometrisk autentisering	Manuell, inaktiverad	1.1.0
Autentisera till kryptografisk modul	CMA_0021 – Autentisera till kryptografisk modul	Manuell, inaktiverad	1.1.0
Auktorisera fjärråtkomst	CMA_0024 – Auktorisera fjärråtkomst	Manuell, inaktiverad	1.1.0
Dokumentera mobilitetsträning	CMA_0191 – Utbildning i dokumentmobilitet	Manuell, inaktiverad	1.1.0
Dokumentera riktlinjer för fjärråtkomst	CMA_0196 – Dokumentera riktlinjer för fjärråtkomst	Manuell, inaktiverad	1.1.0
Identifiera och autentisera nätverksenheter	CMA_0296 – Identifiera och autentisera nätverksenheter	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser	CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser	Manuell, inaktiverad	1.1.0
Tillhandahålla sekretessutbildning	CMA_0415 – Tillhandahålla sekretessutbildning	Manuell, inaktiverad	1.1.0
Uppfylla kvalitetskraven för token	CMA_0487 – Uppfylla kvalitetskraven för token	Manuell, inaktiverad	1.1.0

Se till att "Multi-Factor Auth Status" är "Aktiverad" för alla privilegierade användare

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Använda mekanismer för biometrisk autentisering	CMA_0005 – Använda mekanismer för biometrisk autentisering	Manuell, inaktiverad	1.1.0

Se till att multifaktorautentiseringsstatusen är aktiverad för alla icke-privilegierade användare

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Använda mekanismer för biometrisk autentisering	CMA_0005 – Använda mekanismer för biometrisk autentisering	Manuell, inaktiverad	1.1.0

Se till att "Tillåt användare att komma ihåg multifaktorautentisering på enheter som de litar på" är Inaktiverad

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Använda mekanismer för biometrisk autentisering	CMA_0005 – Använda mekanismer för biometrisk autentisering	Manuell, inaktiverad	1.1.0
Identifiera och autentisera nätverksenheter	CMA_0296 – Identifiera och autentisera nätverksenheter	Manuell, inaktiverad	1.1.0
Uppfylla kvalitetskraven för token	CMA_0487 – Uppfylla kvalitetskraven för token	Manuell, inaktiverad	1.1.0

1

Se till att "Meddela alla administratörer när andra administratörer återställer sitt lösenord?" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.10 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Automatisera kontohantering	CMA_0026 – Automatisera kontohantering	Manuell, inaktiverad	1.1.0
Implementera utbildning för att skydda autentiserare	CMA_0329 – Implementera utbildning för att skydda autentiserare	Manuell, inaktiverad	1.1.0
Hantera system- och administratörskonton	CMA_0368 – Hantera system- och administratörskonton	Manuell, inaktiverad	1.1.0
Övervaka åtkomst i hela organisationen	CMA_0376 – Övervaka åtkomst i hela organisationen	Manuell, inaktiverad	1.1.0
Övervaka privilegierad rolltilldelning	CMA_0378 – Övervaka privilegierad rolltilldelning	Manuell, inaktiverad	1.1.0
Meddela när kontot inte behövs	CMA_0383 – Meddela när kontot inte behövs	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privilegierade konton	CMA_0446 – Begränsa åtkomsten till privilegierade konton	Manuell, inaktiverad	1.1.0
Återkalla privilegierade roller efter behov	CMA_0483 – Återkalla privilegierade roller efter behov	Manuell, inaktiverad	1.1.0
Använda privilegierad identitetshantering	CMA_0533 – Använda privilegierad identitetshantering	Manuell, inaktiverad	1.1.0

Kontrollera att `User consent for applications` är inställt på `Do not allow user consent`

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.11 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0

Se till att "Användare kan lägga till galleriappar i Mina appar" är inställt på Nej

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.13 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0

Se till att "Användare kan registrera program" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.14 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0

Se till att "Åtkomstbegränsningar för gästanvändare" är inställt på "Gästanvändaråtkomst är begränsad till egenskaper och medlemskap för sina egna katalogobjekt"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.15 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Utforma en åtkomstkontrollmodell	CMA_0129 – Utforma en åtkomstkontrollmodell	Manuell, inaktiverad	1.1.0
Använda åtkomst med minst behörighet	CMA_0212 – Använda åtkomst med minst behörighet	Manuell, inaktiverad	1.1.0
Framtvinga logisk åtkomst	CMA_0245 – Framtvinga logisk åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Kräv godkännande för att skapa konto	CMA_0431 – Kräv godkännande för att skapa konto	Manuell, inaktiverad	1.1.0
Granska användargrupper och program med åtkomst till känsliga data	CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data	Manuell, inaktiverad	1.1.0

Se till att "Begränsningar för gästbjudning" är inställt på "Endast användare som har tilldelats till specifika administratörsroller kan bjuda in gästanvändare"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.16 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Utforma en åtkomstkontrollmodell	CMA_0129 – Utforma en åtkomstkontrollmodell	Manuell, inaktiverad	1.1.0
Använda åtkomst med minst behörighet	CMA_0212 – Använda åtkomst med minst behörighet	Manuell, inaktiverad	1.1.0
Framtvinga logisk åtkomst	CMA_0245 – Framtvinga logisk åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Kräv godkännande för att skapa konto	CMA_0431 – Kräv godkännande för att skapa konto	Manuell, inaktiverad	1.1.0
Granska användargrupper och program med åtkomst till känsliga data	CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data	Manuell, inaktiverad	1.1.0

Se till att "Begränsa åtkomsten till Azure AD-administrationsportalen" är inställd på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.17 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga logisk åtkomst	CMA_0245 – Framtvinga logisk åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Kräv godkännande för att skapa konto	CMA_0431 – Kräv godkännande för att skapa konto	Manuell, inaktiverad	1.1.0
Granska användargrupper och program med åtkomst till känsliga data	CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data	Manuell, inaktiverad	1.1.0

Se till att "Begränsa användarens möjlighet att komma åt gruppfunktioner i åtkomstfönstret" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.18 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0

Se till att "Användare kan skapa säkerhetsgrupper i Azure Portal, API eller PowerShell" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.19 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0

Kontrollera att "Ägare kan hantera begäranden om gruppmedlemskap i Åtkomstpanelen" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.20 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0

Se till att "Användare kan skapa Microsoft 365-grupper i Azure Portal, API eller PowerShell" är inställt på Nej

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.21 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0

Se till att "Kräv multifaktorautentisering för att registrera eller ansluta enheter med Azure AD" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.22 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Använda mekanismer för biometrisk autentisering	CMA_0005 – Använda mekanismer för biometrisk autentisering	Manuell, inaktiverad	1.1.0
Auktorisera fjärråtkomst	CMA_0024 – Auktorisera fjärråtkomst	Manuell, inaktiverad	1.1.0
Dokumentera mobilitetsträning	CMA_0191 – Utbildning i dokumentmobilitet	Manuell, inaktiverad	1.1.0
Dokumentera riktlinjer för fjärråtkomst	CMA_0196 – Dokumentera riktlinjer för fjärråtkomst	Manuell, inaktiverad	1.1.0
Identifiera och autentisera nätverksenheter	CMA_0296 – Identifiera och autentisera nätverksenheter	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser	CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser	Manuell, inaktiverad	1.1.0
Tillhandahålla sekretessutbildning	CMA_0415 – Tillhandahålla sekretessutbildning	Manuell, inaktiverad	1.1.0
Uppfylla kvalitetskraven för token	CMA_0487 – Uppfylla kvalitetskraven för token	Manuell, inaktiverad	1.1.0

Kontrollera att det inte finns några administratörsroller för anpassad prenumeration

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.23 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska användningen av anpassade RBAC-roller	Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering	Granskning, inaktiverad	1.0.1
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Utforma en åtkomstkontrollmodell	CMA_0129 – Utforma en åtkomstkontrollmodell	Manuell, inaktiverad	1.1.0
Använda åtkomst med minst behörighet	CMA_0212 – Använda åtkomst med minst behörighet	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0

Kontrollera att en anpassad roll har tilldelats behörigheter för att administrera resurslås

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.24 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0

Se till att gästanvändare granskas regelbundet

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort	Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort	Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort	Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Tilldela om eller ta bort användarbehörigheter efter behov	CMA_C1040 – Tilldela om eller ta bort användarbehörigheter efter behov	Manuell, inaktiverad	1.1.0
Granska kontoetableringsloggar	CMA_0460 – Granska kontoetableringsloggar	Manuell, inaktiverad	1.1.0
Granska användarkonton	CMA_0480 – Granska användarkonton	Manuell, inaktiverad	1.1.0
Granska användarbehörigheter	CMA_C1039 – Granska användarbehörigheter	Manuell, inaktiverad	1.1.0

Se till att "Antal dagar innan användarna uppmanas att bekräfta sin autentiseringsinformation" inte är inställt på "0"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.8 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Automatisera kontohantering	CMA_0026 – Automatisera kontohantering	Manuell, inaktiverad	1.1.0
Hantera system- och administratörskonton	CMA_0368 – Hantera system- och administratörskonton	Manuell, inaktiverad	1.1.0
Övervaka åtkomst i hela organisationen	CMA_0376 – Övervaka åtkomst i hela organisationen	Manuell, inaktiverad	1.1.0
Meddela när kontot inte behövs	CMA_0383 – Meddela när kontot inte behövs	Manuell, inaktiverad	1.1.0

Se till att "Meddela användare om lösenordsåterställning?" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.9 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Automatisera kontohantering	CMA_0026 – Automatisera kontohantering	Manuell, inaktiverad	1.1.0
Implementera utbildning för att skydda autentiserare	CMA_0329 – Implementera utbildning för att skydda autentiserare	Manuell, inaktiverad	1.1.0
Hantera system- och administratörskonton	CMA_0368 – Hantera system- och administratörskonton	Manuell, inaktiverad	1.1.0
Övervaka åtkomst i hela organisationen	CMA_0376 – Övervaka åtkomst i hela organisationen	Manuell, inaktiverad	1.1.0
Meddela när kontot inte behövs	CMA_0383 – Meddela när kontot inte behövs	Manuell, inaktiverad	1.1.0

10

Kontrollera att resurslås har angetts för verksamhetskritiska Azure-resurser

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 10.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0

2.1

Kontrollera att Microsoft Defender för servrar är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för servrar ska vara aktiverat	Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter.	AuditIfNotExists, inaktiverad	1.0.3
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Kontrollera att Microsoft Defender för Key Vault är inställt på "på"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.10 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för Key Vault ska vara aktiverat	Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton.	AuditIfNotExists, inaktiverad	1.0.3
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Kontrollera att Microsoft Defender för DNS är inställt på "på"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.11 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
[Inaktuell]: Azure Defender för DNS ska vara aktiverat	Den här principdefinitionen är inte längre det rekommenderade sättet att uppnå sin avsikt eftersom DNS-paketet är inaktuellt. I stället för att fortsätta använda den här principen rekommenderar vi att du tilldelar den här ersättningsprincipen med princip-ID 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Läs mer om utfasning av principdefinitioner på aka.ms/policydefdeprecation	AuditIfNotExists, inaktiverad	1.1.0-inaktuell

Kontrollera att Microsoft Defender för Resource Manager är inställt på "på"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.12 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för Resource Manager ska vara aktiverat	Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center .	AuditIfNotExists, inaktiverad	1.0.0

Kontrollera att Microsoft Defender-rekommendationen för "Tillämpa systemuppdateringar" är "Slutförd"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.13 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas	För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Granska, neka, inaktiverad	3.7.0

Kontrollera att någon av ASC:s standardprincipinställningar inte är inställda på "Inaktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.14 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konfigurera åtgärder för inkompatibla enheter	CMA_0062 – Konfigurera åtgärder för inkompatibla enheter	Manuell, inaktiverad	1.1.0
Utveckla och underhålla baslinjekonfigurationer	CMA_0153 – Utveckla och underhålla baslinjekonfigurationer	Manuell, inaktiverad	1.1.0
Framtvinga inställningar för säkerhetskonfiguration	CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration	Manuell, inaktiverad	1.1.0
Upprätta en kontrolltavla för konfiguration	CMA_0254 – Upprätta en kontrolltavla för konfiguration	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera en konfigurationshanteringsplan	CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan	Manuell, inaktiverad	1.1.0
Implementera ett automatiserat konfigurationshanteringsverktyg	CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg	Manuell, inaktiverad	1.1.0

Se till att automatisk etablering av Log Analytics-agenten för virtuella Azure-datorer är inställd på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.15 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Dokumentsäkerhetsåtgärder	CMA_0202 – Dokumentsäkerhetsåtgärder	Manuell, inaktiverad	1.1.0
Aktivera sensorer för slutpunktssäkerhetslösning	CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning	Manuell, inaktiverad	1.1.0

Se till att automatisk etablering av Komponenter för Microsoft Defender för containrar är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.17 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Microsoft Defender för containrar ska vara aktiverat	Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln.	AuditIfNotExists, inaktiverad	1.0.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Se till att "Ytterligare e-postadresser" har konfigurerats med en e-postadress för säkerhetskontakt

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.19 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem	För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center.	AuditIfNotExists, inaktiverad	1.0.1

Se till att Microsoft Defender för App Services är inställt på "på"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för App Service ska vara aktiverat	Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker.	AuditIfNotExists, inaktiverad	1.0.3
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Se till att "Meddela om aviseringar med följande allvarlighetsgrad" är inställt på "Hög"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.20 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat	Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer.	AuditIfNotExists, inaktiverad	1.2.0

Se till att Microsoft Defender för molnet Apps-integrering med Microsoft Defender för molnet är markerad

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.21 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Kontrollera att Microsoft Defender för Endpoint integrering med Microsoft Defender för molnet har valts

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.22 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Kontrollera att Microsoft Defender för databaser är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Microsoft Defender för Azure Cosmos DB bör vara aktiverat	Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders.	AuditIfNotExists, inaktiverad	1.0.0

Se till att Microsoft Defender för Azure SQL Databases är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Kontrollera att Microsoft Defender för SQL-servrar på datorer är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Se till att Microsoft Defender för relationsdatabaser med öppen källkod är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0

Kontrollera att Microsoft Defender för lagring är inställt på "på"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.7 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Microsoft Defender för Storage ska vara aktiverat	Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader.	AuditIfNotExists, inaktiverad	1.0.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Kontrollera att Microsoft Defender för containrar är inställt på "på"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.8 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Microsoft Defender för containrar ska vara aktiverat	Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln.	AuditIfNotExists, inaktiverad	1.0.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0

Kontrollera att Microsoft Defender för Azure Cosmos DB är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1.9 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Microsoft Defender för Azure Cosmos DB bör vara aktiverat	Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders.	AuditIfNotExists, inaktiverad	1.0.0

3

Kontrollera att "Säker överföring krävs" är inställd på "Aktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0
Säker överföring till lagringskonton ska vara aktiverad	Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	2.0.0

Se till att privata slutpunkter används för åtkomst till lagringskonton

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.10 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Lagringskonton bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, inaktiverad	2.0.0

Se till att lagring för kritiska data krypteras med kundhanterade nycklar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.12 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0
Lagringskonton bör använda kundhanterad nyckel för kryptering	Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt.	Granskning, inaktiverad	1.0.3

Kontrollera att lagringsloggning är aktiverad för Blob Service för "Read", "Write" och "Delete"-begäranden

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.13 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Konfigurera Azure-granskningsfunktioner	CMA_C1108 – Konfigurera Azure Audit-funktioner	Manuell, inaktiverad	1.1.1
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Kontrollera att lagringsloggning är aktiverat för Table Service för "Read", "Write" och "Delete"-begäranden

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.14 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Konfigurera Azure-granskningsfunktioner	CMA_C1108 – Konfigurera Azure Audit-funktioner	Manuell, inaktiverad	1.1.1
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Kontrollera att "Lägsta TLS-version" för lagringskonton är inställt på "Version 1.2"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.15 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0
Lagringskonton bör ha den angivna lägsta TLS-versionen	Konfigurera en lägsta TLS-version för säker kommunikation mellan klientprogrammet och lagringskontot. För att minimera säkerhetsrisken är den rekommenderade lägsta TLS-versionen den senaste versionen, som för närvarande är TLS 1.2.	Granska, neka, inaktiverad	1.0.0

Se till att "Aktivera infrastrukturkryptering" för varje lagringskonto i Azure Storage är inställt på "aktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Lagringskonton ska ha infrastrukturkryptering	Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger.	Granska, neka, inaktiverad	1.0.0

Kontrollera att åtkomstnycklar för lagringskontot genereras regelbundet

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Definiera en process för hantering av fysiska nycklar	CMA_0115 – Definiera en process för hantering av fysiska nycklar	Manuell, inaktiverad	1.1.0
Definiera kryptografisk användning	CMA_0120 – Definiera kryptografisk användning	Manuell, inaktiverad	1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar	CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Fastställa krav för försäkran	CMA_0136 – Fastställa kontrollkrav	Manuell, inaktiverad	1.1.0
Utfärda certifikat för offentlig nyckel	CMA_0347 – Utfärda certifikat för offentlig nyckel	Manuell, inaktiverad	1.1.0
Hantera symmetriska kryptografiska nycklar	CMA_0367 – Hantera symmetriska kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privata nycklar	CMA_0445 – Begränsa åtkomsten till privata nycklar	Manuell, inaktiverad	1.1.0

Kontrollera att lagringsloggning är aktiverad för kötjänsten för "Läs", "Skriv" och "Ta bort"-begäranden

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Konfigurera Azure-granskningsfunktioner	CMA_C1108 – Konfigurera Azure Audit-funktioner	Manuell, inaktiverad	1.1.1
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Se till att signaturtoken för delad åtkomst upphör att gälla inom en timme

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Inaktivera autentiserare vid avslutning	CMA_0169 – Inaktivera autentisering vid avslutning	Manuell, inaktiverad	1.1.0
Återkalla privilegierade roller efter behov	CMA_0483 – Återkalla privilegierade roller efter behov	Manuell, inaktiverad	1.1.0
Avsluta användarsession automatiskt	CMA_C1054 – Avsluta användarsessionen automatiskt	Manuell, inaktiverad	1.1.0

Se till att "offentlig åtkomstnivå" är inaktiverad för lagringskonton med blobcontainrar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.7 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas	Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0-preview
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga logisk åtkomst	CMA_0245 – Framtvinga logisk åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Kräv godkännande för att skapa konto	CMA_0431 – Kräv godkännande för att skapa konto	Manuell, inaktiverad	1.1.0
Granska användargrupper och program med åtkomst till känsliga data	CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data	Manuell, inaktiverad	1.1.0

Se till att standardregeln för nätverksåtkomst för lagringskonton är inställd på Neka

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.8 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Lagringskonton bör begränsa nätverksåtkomsten	Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet	Granska, neka, inaktiverad	1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk	Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton.	Granska, neka, inaktiverad	1.0.1

Se till att "Tillåt azure-tjänster i listan över betrodda tjänster att komma åt det här lagringskontot" är aktiverat för åtkomst till lagringskonto

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.9 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera informationsflödet	CMA_0079 – Kontrollera informationsflödet	Manuell, inaktiverad	1.1.0
Använda flödeskontrollmekanismer för krypterad information	CMA_0211 – Använda flödeskontrollmekanismer för krypterad information	Manuell, inaktiverad	1.1.0
Upprätta konfigurationsstandarder för brandvägg och router	CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router	Manuell, inaktiverad	1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö	CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö	Manuell, inaktiverad	1.1.0
Identifiera och hantera informationsutbyten i underordnade led	CMA_0298 – Identifiera och hantera informationsutbyten i nedströms	Manuell, inaktiverad	1.1.0
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster	Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot.	Granska, neka, inaktiverad	1.0.0

4.1

Kontrollera att "Granskning" är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Granskning på SQL-servern ska vara aktiverad	Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg.	AuditIfNotExists, inaktiverad	2.0.0
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Se till att inga Azure SQL-databaser tillåter ingress från 0.0.0.0/0 (IP-adresser)

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera informationsflödet	CMA_0079 – Kontrollera informationsflödet	Manuell, inaktiverad	1.1.0
Använda flödeskontrollmekanismer för krypterad information	CMA_0211 – Använda flödeskontrollmekanismer för krypterad information	Manuell, inaktiverad	1.1.0
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras	Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler.	Granska, neka, inaktiverad	1.1.0

Se till att SQL-serverns transparent datakryptering (TDE)-skydd är krypterat med kundhanterad nyckel

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data	Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav.	Granska, neka, inaktiverad	2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data	Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav.	Granska, neka, inaktiverad	2.0.1

Kontrollera att Azure Active Directory-administratören är konfigurerad för SQL-servrar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar	Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster	AuditIfNotExists, inaktiverad	1.0.0
Automatisera kontohantering	CMA_0026 – Automatisera kontohantering	Manuell, inaktiverad	1.1.0
Hantera system- och administratörskonton	CMA_0368 – Hantera system- och administratörskonton	Manuell, inaktiverad	1.1.0
Övervaka åtkomst i hela organisationen	CMA_0376 – Övervaka åtkomst i hela organisationen	Manuell, inaktiverad	1.1.0
Meddela när kontot inte behövs	CMA_0383 – Meddela när kontot inte behövs	Manuell, inaktiverad	1.1.0

Kontrollera att "Datakryptering" är inställt på "På" i en SQL Database

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0
transparent datakryptering på SQL-databaser ska vara aktiverat	Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven	AuditIfNotExists, inaktiverad	2.0.0

Se till att kvarhållningen av granskning är "större än 90 dagar"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Följ de definierade kvarhållningsperioderna	CMA_0004 – Följ de kvarhållningsperioder som definierats	Manuell, inaktiverad	1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter	CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter	Manuell, inaktiverad	1.1.0
Behålla säkerhetsprinciper och procedurer	CMA_0454 – Behålla säkerhetsprinciper och procedurer	Manuell, inaktiverad	1.1.0
Behålla avslutade användardata	CMA_0455 – Behåll avslutade användardata	Manuell, inaktiverad	1.1.0
SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare	I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder.	AuditIfNotExists, inaktiverad	3.0.0

4.2

Kontrollera att Microsoft Defender för SQL är inställt på "På" för kritiska SQL-servrar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar	Granska SQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances	Granska varje SQL Managed Instance utan avancerad datasäkerhet.	AuditIfNotExists, inaktiverad	1.0.2
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0

Kontrollera att sårbarhetsbedömning (VA) är aktiverat på en SQL-server genom att ange ett lagringskonto

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance	Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar	Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	3.0.0

Kontrollera att inställningen Sårbarhetsbedömning (VA) "Periodiska återkommande genomsökningar" är inställd på "på" för varje SQL-server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance	Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	1.0.1

Se till att inställningen För sårbarhetsbedömning (VA) "Skicka genomsökningsrapporter till" har konfigurerats för en SQL-server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Korrelera information om sårbarhetsgenomsökning	CMA_C1558 – Korrelera information om sårbarhetsgenomsökning	Manuell, inaktiverad	1.1.1
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar	Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	3.0.0

Se till att inställningen Sårbarhetsbedömning (VA) "Skicka även e-postmeddelanden till administratörer och prenumerationsägare" har angetts för varje SQL Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Korrelera information om sårbarhetsgenomsökning	CMA_C1558 – Korrelera information om sårbarhetsgenomsökning	Manuell, inaktiverad	1.1.1
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0
SQL-databaser bör lösa sårbarhetsresultat	Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen.	AuditIfNotExists, inaktiverad	4.1.0
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar	Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	3.0.0

4.3

Se till att "Framtvinga SSL-anslutning" är inställt på "ENABLED" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar	Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0

Kontrollera att serverparametern "log_checkpoints" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar	Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad.	AuditIfNotExists, inaktiverad	1.0.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Kontrollera att serverparametern "log_connections" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar	Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad.	AuditIfNotExists, inaktiverad	1.0.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Kontrollera att serverparametern "log_disconnections" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Frånkopplingar ska loggas för PostgreSQL-databasservrar.	Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverat.	AuditIfNotExists, inaktiverad	1.0.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Kontrollera att serverparametern "connection_throttling" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Anslutningsbegränsning ska vara aktiverat för PostgreSQL-databasservrar	Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att anslutningsbegränsning har aktiverats. Den här inställningen möjliggör tillfällig anslutningsbegränsning per IP-adress för för många ogiltiga inloggningsfel för lösenord.	AuditIfNotExists, inaktiverad	1.0.0
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Kontrollera att serverparametern "log_retention_days" är större än 3 dagar för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Följ de definierade kvarhållningsperioderna	CMA_0004 – Följ de kvarhållningsperioder som definierats	Manuell, inaktiverad	1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter	CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter	Manuell, inaktiverad	1.1.0
Behålla säkerhetsprinciper och procedurer	CMA_0454 – Behålla säkerhetsprinciper och procedurer	Manuell, inaktiverad	1.1.0
Behålla avslutade användardata	CMA_0455 – Behåll avslutade användardata	Manuell, inaktiverad	1.1.0

Se till att "Tillåt åtkomst till Azure-tjänster" för PostgreSQL Database Server är inaktiverat

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.7 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera informationsflödet	CMA_0079 – Kontrollera informationsflödet	Manuell, inaktiverad	1.1.0
Använda flödeskontrollmekanismer för krypterad information	CMA_0211 – Använda flödeskontrollmekanismer för krypterad information	Manuell, inaktiverad	1.1.0
Upprätta konfigurationsstandarder för brandvägg och router	CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router	Manuell, inaktiverad	1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö	CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö	Manuell, inaktiverad	1.1.0
Identifiera och hantera informationsutbyten i underordnade led	CMA_0298 – Identifiera och hantera informationsutbyten i nedströms	Manuell, inaktiverad	1.1.0
Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar	Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler.	Granska, neka, inaktiverad	3.1.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar	Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler.	Granska, neka, inaktiverad	2.0.1

Se till att "Infrastruktur dubbelkryptering" för PostgreSQL-databasservern är "aktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.8 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL-servrar	Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar	Granska, neka, inaktiverad	1.0.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0

4.4

Se till att "Framtvinga SSL-anslutning" är inställt på "Aktiverad" för Standard MySQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar	Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0

Kontrollera att TLS-versionen är inställd på TLSV1.2 för MySQL – flexibel databasserver

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0

4,5

Se till att brandväggar och nätverk är begränsade till att använda valda nätverk i stället för alla nätverk

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Cosmos DB-konton ska ha brandväggsregler	Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla.	Granska, neka, inaktiverad	2.1.0

Se till att privata slutpunkter används där det är möjligt

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
CosmosDB-konton bör använda privat länk	Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Granskning, inaktiverad	1.0.0

Använd Azure Active Directory -klientautentisering (AAD) och Azure RBAC där det är möjligt.

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade	Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Granska, neka, inaktiverad	1.1.0

5,1

Kontrollera att det finns en diagnostikinställning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0

Se till att diagnostikinställningen samlar in lämpliga kategorier

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
En aktivitetsloggavisering bör finnas för specifika principåtgärder	Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats.	AuditIfNotExists, inaktiverad	3.0.0
En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder	Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats.	AuditIfNotExists, inaktiverad	1.0.0
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Konfigurera Azure-granskningsfunktioner	CMA_C1108 – Konfigurera Azure Audit-funktioner	Manuell, inaktiverad	1.1.1
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Se till att lagringscontainern som lagrar aktivitetsloggarna inte är offentligt tillgänglig

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas	Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0-preview
Aktivera dubbel eller gemensam auktorisering	CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering	Manuell, inaktiverad	1.1.0
Skydda granskningsinformation	CMA_0401 – Skydda granskningsinformation	Manuell, inaktiverad	1.1.0

Kontrollera att lagringskontot som innehåller containern med aktivitetsloggar är krypterat med kundhanterad nyckel

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aktivera dubbel eller gemensam auktorisering	CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering	Manuell, inaktiverad	1.1.0
Upprätthålla integriteten i granskningssystemet	CMA_C1133 – Upprätthålla integriteten i granskningssystemet	Manuell, inaktiverad	1.1.0
Skydda granskningsinformation	CMA_0401 – Skydda granskningsinformation	Manuell, inaktiverad	1.1.0
Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK	Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok.	AuditIfNotExists, inaktiverad	1.0.0

Kontrollera att loggning för Azure Key Vault är "Aktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Resursloggar i Key Vault ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

Se till att flödesloggar för nätverkssäkerhetsgrupp registreras och skickas till Log Analytics

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Alla flödesloggresurser ska vara i aktiverat tillstånd	Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverat. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera.	Granskning, inaktiverad	1.0.1
Granska flödesloggkonfiguration för varje virtuellt nätverk	Granska för virtuellt nätverk för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom det virtuella nätverket. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera.	Granskning, inaktiverad	1.0.1
Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp	Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera.	Granskning, inaktiverad	1.1.0

5.2

Kontrollera att aktivitetsloggavisering finns för att skapa principtilldelning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika principåtgärder	Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats.	AuditIfNotExists, inaktiverad	3.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

Kontrollera att aktivitetsloggavisering finns för borttagning av principtilldelning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika principåtgärder	Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats.	AuditIfNotExists, inaktiverad	3.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

Kontrollera att aktivitetsloggavisering finns för skapa eller uppdatera nätverkssäkerhetsgrupp

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

Kontrollera att aktivitetsloggavisering finns för Ta bort nätverkssäkerhetsgrupp

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera säkerhetslösningen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

Kontrollera att aktivitetsloggavisering finns för ta bort säkerhetslösning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera SQL Server-brandväggsregeln

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.7 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

Kontrollera att aktivitetsloggavisering finns för ta bort SQL Server-brandväggsregel

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.8 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Aviseringspersonal om informationsspill	CMA_0007 – Avisera personal om informationsspill	Manuell, inaktiverad	1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation	Manuell, inaktiverad	1.1.0

5

Se till att Azure Monitor-resursloggning är aktiverad för alla tjänster som stöder den

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Följ de definierade kvarhållningsperioderna	CMA_0004 – Följ de kvarhållningsperioder som definierats	Manuell, inaktiverad	1.1.0
App Service-appar ska ha resursloggar aktiverade	Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats.	AuditIfNotExists, inaktiverad	2.0.1
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Konfigurera Azure-granskningsfunktioner	CMA_C1108 – Konfigurera Azure Audit-funktioner	Manuell, inaktiverad	1.1.1
Fastställa granskningsbara händelser	CMA_0137 – Fastställa granskningsbara händelser	Manuell, inaktiverad	1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter	CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter	Manuell, inaktiverad	1.1.0
Resursloggar i Azure Data Lake Store ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Batch-konton ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Händelsehubb ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i IoT Hub ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	3.1.0
Resursloggar i Key Vault ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Logic Apps ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.1.0
Resursloggar i tjänsten Search ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Resursloggar i Service Bus ska vara aktiverade	Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras	AuditIfNotExists, inaktiverad	5.0.0
Behålla säkerhetsprinciper och procedurer	CMA_0454 – Behålla säkerhetsprinciper och procedurer	Manuell, inaktiverad	1.1.0
Behålla avslutade användardata	CMA_0455 – Behåll avslutade användardata	Manuell, inaktiverad	1.1.0
Granska granskningsdata	CMA_0466 – Granska granskningsdata	Manuell, inaktiverad	1.1.0

6

Se till att RDP-åtkomst från Internet utvärderas och begränsas

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Hanteringsportar bör stängas på dina virtuella datorer	Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn.	AuditIfNotExists, inaktiverad	3.0.0

Se till att SSH-åtkomsten från Internet utvärderas och begränsas

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Hanteringsportar bör stängas på dina virtuella datorer	Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn.	AuditIfNotExists, inaktiverad	3.0.0

Se till att kvarhållningsperioden för nätverkssäkerhetsgruppflödesloggen är "större än 90 dagar"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Följ de definierade kvarhållningsperioderna	CMA_0004 – Följ de kvarhållningsperioder som definierats	Manuell, inaktiverad	1.1.0
Behålla säkerhetsprinciper och procedurer	CMA_0454 – Behålla säkerhetsprinciper och procedurer	Manuell, inaktiverad	1.1.0
Behålla avslutade användardata	CMA_0455 – Behåll avslutade användardata	Manuell, inaktiverad	1.1.0

Kontrollera att Network Watcher är "Aktiverat"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Network Watcher ska vara aktiverat	Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region.	AuditIfNotExists, inaktiverad	3.0.0
Verifiera säkerhetsfunktioner	CMA_C1708 – Verifiera säkerhetsfunktioner	Manuell, inaktiverad	1.1.0

7

Se till att virtuella datorer använder hanterade diskar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Granska virtuella datorer som inte använder hanterade diskar	Den här principen granskar virtuella datorer som inte använder hanterade diskar	granska	1.0.0
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0

Kontrollera att os- och datadiskar är krypterade med kundhanterad nyckel (CMK)

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0

Kontrollera att "Ej anslutna diskar" är krypterade med "Kundhanterad nyckel" (CMK)

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar	Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption.	Granska, neka, inaktiverad	1.0.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0

Se till att endast godkända tillägg är installerade

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Endast godkända VM-tillägg ska installeras	Den här principen styr de tillägg för virtuella datorer som inte är godkända.	Granska, neka, inaktiverad	1.0.0

Se till att Endpoint Protection för alla virtuella datorer är installerat

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Dokumentsäkerhetsåtgärder	CMA_0202 – Dokumentsäkerhetsåtgärder	Manuell, inaktiverad	1.1.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Aktivera sensorer för slutpunktssäkerhetslösning	CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning	Manuell, inaktiverad	1.1.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0
Verifiera programvara, inbyggd programvara och informationsintegritet	CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet	Manuell, inaktiverad	1.1.0

[Äldre] Kontrollera att virtuella hårddiskar är krypterade

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.7 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0

8

Kontrollera att förfallodatumet har angetts för alla nycklar i RBAC Key Vaults

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Definiera en process för hantering av fysiska nycklar	CMA_0115 – Definiera en process för hantering av fysiska nycklar	Manuell, inaktiverad	1.1.0
Definiera kryptografisk användning	CMA_0120 – Definiera kryptografisk användning	Manuell, inaktiverad	1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar	CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Fastställa krav för försäkran	CMA_0136 – Fastställa kontrollkrav	Manuell, inaktiverad	1.1.0
Utfärda certifikat för offentlig nyckel	CMA_0347 – Utfärda certifikat för offentlig nyckel	Manuell, inaktiverad	1.1.0
Key Vault-nycklar bör ha ett utgångsdatum	Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar.	Granska, neka, inaktiverad	1.0.2
Hantera symmetriska kryptografiska nycklar	CMA_0367 – Hantera symmetriska kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privata nycklar	CMA_0445 – Begränsa åtkomsten till privata nycklar	Manuell, inaktiverad	1.1.0

Kontrollera att förfallodatumet har angetts för alla nycklar i icke-RBAC-nyckelvalv.

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Definiera en process för hantering av fysiska nycklar	CMA_0115 – Definiera en process för hantering av fysiska nycklar	Manuell, inaktiverad	1.1.0
Definiera kryptografisk användning	CMA_0120 – Definiera kryptografisk användning	Manuell, inaktiverad	1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar	CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Fastställa krav för försäkran	CMA_0136 – Fastställa kontrollkrav	Manuell, inaktiverad	1.1.0
Utfärda certifikat för offentlig nyckel	CMA_0347 – Utfärda certifikat för offentlig nyckel	Manuell, inaktiverad	1.1.0
Key Vault-nycklar bör ha ett utgångsdatum	Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar.	Granska, neka, inaktiverad	1.0.2
Hantera symmetriska kryptografiska nycklar	CMA_0367 – Hantera symmetriska kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privata nycklar	CMA_0445 – Begränsa åtkomsten till privata nycklar	Manuell, inaktiverad	1.1.0

Kontrollera att förfallodatumet har angetts för alla hemligheter i RBAC Key Vaults

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Definiera en process för hantering av fysiska nycklar	CMA_0115 – Definiera en process för hantering av fysiska nycklar	Manuell, inaktiverad	1.1.0
Definiera kryptografisk användning	CMA_0120 – Definiera kryptografisk användning	Manuell, inaktiverad	1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar	CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Fastställa krav för försäkran	CMA_0136 – Fastställa kontrollkrav	Manuell, inaktiverad	1.1.0
Utfärda certifikat för offentlig nyckel	CMA_0347 – Utfärda certifikat för offentlig nyckel	Manuell, inaktiverad	1.1.0
Key Vault-hemligheter bör ha ett utgångsdatum	Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter.	Granska, neka, inaktiverad	1.0.2
Hantera symmetriska kryptografiska nycklar	CMA_0367 – Hantera symmetriska kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privata nycklar	CMA_0445 – Begränsa åtkomsten till privata nycklar	Manuell, inaktiverad	1.1.0

Kontrollera att förfallodatumet har angetts för alla hemligheter i nyckelvalv som inte är RBAC

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Definiera en process för hantering av fysiska nycklar	CMA_0115 – Definiera en process för hantering av fysiska nycklar	Manuell, inaktiverad	1.1.0
Definiera kryptografisk användning	CMA_0120 – Definiera kryptografisk användning	Manuell, inaktiverad	1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar	CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Fastställa krav för försäkran	CMA_0136 – Fastställa kontrollkrav	Manuell, inaktiverad	1.1.0
Utfärda certifikat för offentlig nyckel	CMA_0347 – Utfärda certifikat för offentlig nyckel	Manuell, inaktiverad	1.1.0
Key Vault-hemligheter bör ha ett utgångsdatum	Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter.	Granska, neka, inaktiverad	1.0.2
Hantera symmetriska kryptografiska nycklar	CMA_0367 – Hantera symmetriska kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privata nycklar	CMA_0445 – Begränsa åtkomsten till privata nycklar	Manuell, inaktiverad	1.1.0

Kontrollera att Nyckelvalvet kan återställas

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Nyckelvalv bör ha borttagningsskydd aktiverat	Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard.	Granska, neka, inaktiverad	2.1.0
Nyckelvalv bör ha mjuk borttagning aktiverat	Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod.	Granska, neka, inaktiverad	3.0.0

Aktivera rollbaserad åtkomstkontroll för Azure Key Vault

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.6 Ägarskap: Delat

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Key Vault bör använda RBAC-behörighetsmodellen	Aktivera RBAC-behörighetsmodell i Key Vaults. Läs mer på: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Granska, neka, inaktiverad	1.0.1

Kontrollera att privata slutpunkter används för Azure Key Vault

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.7 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Azure Key Vaults bör använda privat länk	Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Se till att automatisk nyckelrotation är aktiverad i Azure Key Vault för de tjänster som stöds

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.8 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Nycklar bör ha en rotationsprincip som säkerställer att rotationen schemaläggs inom det angivna antalet dagar efter att de har skapats.	Hantera organisationens efterlevnadskrav genom att ange det maximala antalet dagar efter att nyckeln har skapats tills den måste roteras.	Granskning, inaktiverad	1.0.0

9

Kontrollera att App Service-autentisering har konfigurerats för appar i Azure App Service

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.1 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar ska ha autentisering aktiverat	Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen.	AuditIfNotExists, inaktiverad	2.0.1
Autentisera till kryptografisk modul	CMA_0021 – Autentisera till kryptografisk modul	Manuell, inaktiverad	1.1.0
Framtvinga användar unikhet	CMA_0250 – Framtvinga användar unikhet	Manuell, inaktiverad	1.1.0
Funktionsappar bör ha autentisering aktiverat	Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen.	AuditIfNotExists, inaktiverad	3.0.0
Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter	CMA_0507 – Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter	Manuell, inaktiverad	1.1.0

Kontrollera att FTP-distributioner är inaktiverade

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.10 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Funktionsappar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0

Se till att Azure Key Vaults används för att lagra hemligheter

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.11 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Definiera en process för hantering av fysiska nycklar	CMA_0115 – Definiera en process för hantering av fysiska nycklar	Manuell, inaktiverad	1.1.0
Definiera kryptografisk användning	CMA_0120 – Definiera kryptografisk användning	Manuell, inaktiverad	1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar	CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Fastställa krav för försäkran	CMA_0136 – Fastställa kontrollkrav	Manuell, inaktiverad	1.1.0
Se till att kryptografiska mekanismer är under konfigurationshantering	CMA_C1199 – Se till att kryptografiska mekanismer är under konfigurationshantering	Manuell, inaktiverad	1.1.0
Utfärda certifikat för offentlig nyckel	CMA_0347 – Utfärda certifikat för offentlig nyckel	Manuell, inaktiverad	1.1.0
Underhålla tillgängligheten för information	CMA_C1644 – Upprätthålla tillgängligheten för information	Manuell, inaktiverad	1.1.0
Hantera symmetriska kryptografiska nycklar	CMA_0367 – Hantera symmetriska kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privata nycklar	CMA_0445 – Begränsa åtkomsten till privata nycklar	Manuell, inaktiverad	1.1.0

Se till att webbappen omdirigerar all HTTP-trafik till HTTPS i Azure App Service

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.2 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	4.0.0
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0

Kontrollera att Web App använder den senaste versionen av TLS-kryptering

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.3 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Funktionsappar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0

Kontrollera att webbappen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.4 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
[Inaktuell]: App Service-appar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat.	Granskning, inaktiverad	3.1.0-inaktuell
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat.	Granskning, inaktiverad	3.1.0-inaktuell
Autentisera till kryptografisk modul	CMA_0021 – Autentisera till kryptografisk modul	Manuell, inaktiverad	1.1.0

Se till att Registrera med Azure Active Directory är aktiverat i App Service

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.5 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar bör använda hanterad identitet	Använda en hanterad identitet för förbättrad autentiseringssäkerhet	AuditIfNotExists, inaktiverad	3.0.0
Automatisera kontohantering	CMA_0026 – Automatisera kontohantering	Manuell, inaktiverad	1.1.0
Funktionsappar bör använda hanterad identitet	Använda en hanterad identitet för förbättrad autentiseringssäkerhet	AuditIfNotExists, inaktiverad	3.0.0
Hantera system- och administratörskonton	CMA_0368 – Hantera system- och administratörskonton	Manuell, inaktiverad	1.1.0
Övervaka åtkomst i hela organisationen	CMA_0376 – Övervaka åtkomst i hela organisationen	Manuell, inaktiverad	1.1.0
Meddela när kontot inte behövs	CMA_0383 – Meddela när kontot inte behövs	Manuell, inaktiverad	1.1.0

Se till att PHP-versionen är den senaste, om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.6 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appfack som använder PHP bör använda en angiven "PHP-version"	Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav.	AuditIfNotExists, inaktiverad	1.0.0
App Service-appar som använder PHP bör använda en angiven "PHP-version"	Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav.	AuditIfNotExists, inaktiverad	3.2.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0

Se till att Python-versionen är den senaste stabila versionen om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.7 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appfack som använder Python bör använda en angiven "Python-version"	Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav.	AuditIfNotExists, inaktiverad	1.0.0
App Service-appar som använder Python bör använda en angiven "Python-version"	Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav.	AuditIfNotExists, inaktiverad	4.1.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0

Se till att Java-versionen är den senaste, om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.8 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
Funktionsappplatser som använder Java bör använda en angiven "Java-version"	Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav.	AuditIfNotExists, inaktiverad	1.0.0
Funktionsappar som använder Java bör använda en angiven "Java-version"	Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav.	AuditIfNotExists, inaktiverad	3.1.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0

Se till att HTTP-versionen är den senaste, om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.9 Ägarskap: Delad

Name _{(Azure Portal)}	beskrivning	Effekter	Version _(GitHub)
App Service-appar bör använda den senaste HTTP-versionen	Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen.	AuditIfNotExists, inaktiverad	4.0.0
Funktionsappar bör använda den senaste HTTP-versionen	Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen.	AuditIfNotExists, inaktiverad	4.0.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0

Nästa steg

Ytterligare artiklar om Azure Policy:

Översikt över regelefterlevnad .
Se initiativdefinitionsstrukturen.
Granska andra exempel i Azure Policy-exempel.
Granska Förstå policy-effekter.
Lär dig hur du åtgärdar icke-kompatibla resurser.

Dela via