Information om det inbyggda initiativet NIST SP 800-53 Rev. 4 (Azure Government) Regulatory Compliance
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i NIST SP 800-53 Rev. 4 (Azure Government). Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 4. Information om ägarskap finns i Principdefinition för Azure Policy och Delat ansvar i molnet.
Följande mappningar är till NIST SP 800-53 Rev. 4-kontrollerna . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen NIST SP 800-53 Rev. 4 Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
Åtkomstkontroll
Principer och procedurer för åtkomstkontroll
ID: NIST SP 800-53 Rev. 4 AC-1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1000 – Krav på principer och procedurer för åtkomstkontroll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1001 – Krav på principer och procedurer för åtkomstkontroll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Kontohantering
ID: NIST SP 800-53 Rev. 4 AC-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Managed Control 1002 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1003 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1004 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1005 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1006 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1007 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1008 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1009 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1010 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1011 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1012 – Kontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Automatiserad systemkontohantering
ID: NIST SP 800-53 Rev. 4 AC-2 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Microsoft Managed Control 1013 – Kontohantering | Automatiserad systemkontohantering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Borttagning av tillfälliga/nödkonton
ID: NIST SP 800-53 Rev. 4 AC-2 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1014 – Kontohantering | Borttagning av tillfälliga/nödkonton | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Inaktivera inaktiva konton
ID: NIST SP 800-53 Rev. 4 AC-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1015 – Kontohantering | Inaktivera inaktiva konton | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Automatiserade granskningsåtgärder
ID: NIST SP 800-53 Rev. 4 AC-2 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1016 – Kontohantering | Automatiserade granskningsåtgärder | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Inaktivitetsutloggning
ID: NIST SP 800-53 Rev. 4 AC-2 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1017 – Kontohantering | Inaktivitetsutloggning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Rollbaserade scheman
ID: NIST SP 800-53 Rev. 4 AC-2 (7) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Microsoft Managed Control 1018 – Kontohantering | Rollbaserade scheman | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1019 – Kontohantering | Rollbaserade scheman | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1020 – Kontohantering | Rollbaserade scheman | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Begränsningar för användning av delade grupper/konton
ID: NIST SP 800-53 Rev. 4 AC-2 (9) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1021 – Kontohantering | Begränsningar för användning av delade/gruppkonton | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Uppsägning av autentiseringsuppgifter för delat konto/gruppkonto
ID: NIST SP 800-53 Rev. 4 AC-2 (10) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1022 – Kontohantering | Uppsägning av autentiseringsuppgifter för delat konto/gruppkonto | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Användningsvillkor
ID: NIST SP 800-53 Rev. 4 AC-2 (11) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1023 – Kontohantering | Användningsvillkor | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Kontoövervakning/atypisk användning
ID: NIST SP 800-53 Rev. 4 AC-2 (12) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 4.0.1-preview |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1024 – Kontohantering | Kontoövervakning/atypisk användning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1025 – Kontohantering | Kontoövervakning/atypisk användning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Inaktivera konton för högriskpersoner
ID: NIST SP 800-53 Rev. 4 AC-2 (13) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1026 – Kontohantering | Inaktivera konton för högriskpersoner | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Åtkomsttillämpning
ID: NIST SP 800-53 Rev. 4 AC-3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 1.4.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1027 – Åtkomsttillämpning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
Rollbaserad åtkomstkontroll
ID: NIST SP 800-53 Rev. 4 AC-3 (7) Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
Tillämpning av informationsflöde
ID: NIST SP 800-53 Rev. 4 AC-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.0.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 1.4.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1028 – Efterlevnad av informationsflöde | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Dynamisk informationsflödeskontroll
ID: NIST SP 800-53 Rev. 4 AC-4 (3) Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Filter för säkerhetsprinciper
ID: NIST SP 800-53 Rev. 4 AC-4 (8) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1029 – Information Flow Enforcement | Filter för säkerhetsprinciper | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Fysisk/logisk uppdelning av informationsflöden
ID: NIST SP 800-53 Rev. 4 AC-4 (21) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1030 – Information Flow Enforcement | Fysisk/logisk uppdelning av informationsflöden | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Ansvarsfördelning
ID: NIST SP 800-53 Rev. 4 AC-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 – Ansvarsfördelning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1032 – Ansvarsfördelning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1033 – Ansvarsfördelning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Lägsta behörighet
ID: NIST SP 800-53 Rev. 4 AC-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Microsoft Managed Control 1034 – Lägsta behörighet | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Auktorisera åtkomst till säkerhetsfunktioner
ID: NIST SP 800-53 Rev. 4 AC-6 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1035 – Minsta behörighet | Auktorisera åtkomst till säkerhetsfunktioner | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Icke-privilegierad åtkomst för icke-säkerhetsfunktioner
ID: NIST SP 800-53 Rev. 4 AC-6 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1036 – Lägsta behörighet | Icke-privilegierad åtkomst för icke-säkerhetsfunktioner | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Nätverksåtkomst till privilegierade kommandon
ID: NIST SP 800-53 Rev. 4 AC-6 (3) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1037 – Minsta behörighet | Nätverksåtkomst till privilegierade kommandon | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Privilegierade konton
ID: NIST SP 800-53 Rev. 4 AC-6 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1038 – Lägsta behörighet | Privilegierade konton | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Granska användarbehörigheter
ID: NIST SP 800-53 Rev. 4 AC-6 (7) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Microsoft Managed Control 1039 – Minsta behörighet | Granska användarbehörigheter | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1040 – Minsta behörighet | Granska användarbehörigheter | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Behörighetsnivåer för kodkörning
ID: NIST SP 800-53 Rev. 4 AC-6 (8) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1041 – Minsta behörighet | Behörighetsnivåer för kodkörning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Granskning av användning av privilegierade funktioner
ID: NIST SP 800-53 Rev. 4 AC-6 (9) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1042 – Minsta behörighet | Granskning av användning av privilegierade funktioner | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Förhindra icke-privilegierade användare från att köra privilegierade funktioner
ID: NIST SP 800-53 Rev. 4 AC-6 (10) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1043 – Lägsta behörighet | Förhindra icke-privilegierade användare från att köra privilegierade funktioner | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Misslyckade inloggningsförsök
ID: NIST SP 800-53 Rev. 4 AC-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1044 – Misslyckade inloggningsförsök | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1045 – Misslyckade inloggningsförsök | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Rensa/rensa mobil enhet
ID: NIST SP 800-53 Rev. 4 AC-7 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1046 – Misslyckade inloggningsförsök | Rensa/rensa mobil enhet | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Meddelande om systemanvändning
ID: NIST SP 800-53 Rev. 4 AC-8 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 – Meddelande om systemanvändning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1048 – Meddelande om systemanvändning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1049 – Meddelande om systemanvändning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Samtidig sessionskontroll
ID: NIST SP 800-53 Rev. 4 AC-10 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 – samtidig sessionskontroll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Sessionslås
ID: NIST SP 800-53 Rev. 4 AC-11 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 – Sessionslås | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1052 – Sessionslås | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Mönstergömningsskärmar
ID: NIST SP 800-53 Rev. 4 AC-11 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1053 – Sessionslås | Mönstergömningsskärmar | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Avslutning av session
ID: NIST SP 800-53 Rev. 4 AC-12 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 – Sessionsavslut | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Användarinitierade utloggningar/meddelandeskärmar
ID: NIST SP 800-53 Rev. 4 AC-12 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1055 – Sessionsavslut| Användarinitierade utloggningar/meddelandeskärmar | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1056 – Sessionsavslut | Användarinitierade utloggningar/meddelandeskärmar | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Tillåtna åtgärder utan identifiering eller autentisering
ID: NIST SP 800-53 Rev. 4 AC-14 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 – Tillåtna åtgärder utan identifiering eller autentisering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1058 – Tillåtna åtgärder utan identifiering eller autentisering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Säkerhetsattribut
ID: NIST SP 800-53 Rev. 4 AC-16 Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
Fjärråtkomst
ID: NIST SP 800-53 Rev. 4 AC-17 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 1.4.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| Microsoft Managed Control 1059 – Fjärråtkomst | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1060 – Fjärråtkomst | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
Automatiserad övervakning/kontroll
ID: NIST SP 800-53 Rev. 4 AC-17 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 1.4.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| Microsoft Managed Control 1061 – Fjärråtkomst | Automatiserad övervakning/kontroll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
Skydd av konfidentialitet/integritet med kryptering
ID: NIST SP 800-53 Rev. 4 AC-17 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1062 – Fjärråtkomst | Skydd av konfidentialitet/integritet med kryptering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Hanterade åtkomstkontrollpunkter
ID: NIST SP 800-53 Rev. 4 AC-17 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1063 – Fjärråtkomst | Hanterade åtkomstkontrollpunkter | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Privilegierade kommandon/åtkomst
ID: NIST SP 800-53 Rev. 4 AC-17 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1064 – Fjärråtkomst | Privilegierade kommandon/åtkomst | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1065 – Fjärråtkomst | Privilegierade kommandon/åtkomst | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Koppla från/inaktivera åtkomst
ID: NIST SP 800-53 Rev. 4 AC-17 (9) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1066 – Fjärråtkomst | Koppla från/inaktivera åtkomst | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Trådlös åtkomst
ID: NIST SP 800-53 Rev. 4 AC-18 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1067 – Begränsningar för trådlös åtkomst | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1068 – Begränsningar för trådlös åtkomst | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Autentisering och kryptering
ID: NIST SP 800-53 Rev. 4 AC-18 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1069 – Begränsningar för trådlös åtkomst | Autentisering och kryptering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Inaktivera trådlöst nätverk
ID: NIST SP 800-53 Rev. 4 AC-18 (3) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1070 – Begränsningar för trådlös åtkomst | Inaktivera trådlöst nätverk | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Begränsa konfigurationer efter användare
ID: NIST SP 800-53 Rev. 4 AC-18 (4) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1071 – Begränsningar för trådlös åtkomst | Begränsa konfigurationer efter användare | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Antenner/överföringskraftnivåer
ID: NIST SP 800-53 Rev. 4 AC-18 (5) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1072 – Begränsningar för trådlös åtkomst | Antenner/överföringskraftnivåer | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Åtkomstkontroll för mobila enheter
ID: NIST SP 800-53 Rev. 4 AC-19 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1073 – Åtkomstkontroll för bärbara och mobila system | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1074 – Åtkomstkontroll för bärbara och mobila system | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Fullständig enhet/containerbaserad kryptering
ID: NIST SP 800-53 Rev. 4 AC-19 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1075 – Åtkomstkontroll för bärbara och mobila system | Fullständig enhet/containerbaserad kryptering | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Användning av externa informationssystem
ID: NIST SP 800-53 Rev. 4 AC-20 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 – Användning av externa informationssystem | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1077 – Användning av externa informationssystem | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Gränser för auktoriserad användning
ID: NIST SP 800-53 Rev. 4 AC-20 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1078 – Användning av externa informationssystem | Gränser för auktoriserad användning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1079 – Användning av externa informationssystem | Gränser för auktoriserad användning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Bärbara lagringsenheter
ID: NIST SP 800-53 Rev. 4 AC-20 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1080 – Användning av externa informationssystem | Bärbara lagringsenheter | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Informationsdelning
ID: NIST SP 800-53 Rev. 4 AC-21 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 – Informationsdelning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1082 – Informationsdelning | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Offentligt tillgängligt innehåll
ID: NIST SP 800-53 Rev. 4 AC-22 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 – offentligt tillgängligt innehåll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1084 – offentligt tillgängligt innehåll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1085 – offentligt tillgängligt innehåll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1086 – offentligt tillgängligt innehåll | Microsoft implementerar den här åtkomstkontrollen | granska | 1.0.0 |
Medvetenhet och utbildning
Policy och procedurer för säkerhetsmedvetenhet och utbildning
ID: NIST SP 800-53 Rev. 4 AT-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 – Policy och procedurer för säkerhetsmedvetenhet och utbildning | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
| Microsoft Managed Control 1088 – Policy och procedurer för säkerhetsmedvetenhet och utbildning | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
Utbildning för säkerhetsmedvetenhet
ID: NIST SP 800-53 Rev. 4 AT-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1089 – Säkerhetsmedvetenhet | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
| Microsoft Managed Control 1090 – Säkerhetsmedvetenhet | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
| Microsoft Managed Control 1091 – Säkerhetsmedvetenhet | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
Insiderhot
ID: NIST SP 800-53 Rev. 4 AT-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1092 – Säkerhetsmedvetenhet | Insiderhot | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
Rollbaserad säkerhetsutbildning
ID: NIST SP 800-53 Rev. 4 AT-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 – rollbaserad säkerhetsutbildning | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
| Microsoft Managed Control 1094 – rollbaserad säkerhetsutbildning | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
| Microsoft Managed Control 1095 – rollbaserad säkerhetsutbildning | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
Praktiska övningar
ID: NIST SP 800-53 Rev. 4 AT-3 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1096 – Rollbaserad säkerhetsutbildning | Praktiska övningar | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
Misstänkt kommunikation och avvikande systembeteende
ID: NIST SP 800-53 Rev. 4 AT-3 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1097 – Rollbaserad säkerhetsutbildning | Misstänkt kommunikation och avvikande systembeteende | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
Säkerhetsträningsposter
ID: NIST SP 800-53 Rev. 4 AT-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 – Säkerhetsutbildningsposter | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
| Microsoft Managed Control 1099 – Säkerhetsutbildningsposter | Microsoft implementerar den här kontrollen för medvetenhet och utbildning | granska | 1.0.0 |
Granskning och ansvarsskyldighet
Principer och procedurer för granskning och ansvarsskyldighet
ID: NIST SP 800-53 Rev. 4 AU-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 – Gransknings- och ansvarsprinciper och procedurer | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1101 – Princip och procedurer för granskning och ansvarsskyldighet | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Granskningshändelser
ID: NIST SP 800-53 Rev. 4 AU-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 – Granskningshändelser | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1103 – Granskningshändelser | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1104 – Granskningshändelser | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1105 – Granskningshändelser | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Recensioner och Uppdateringar
ID: NIST SP 800-53 Rev. 4 AU-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1106 – Granskningshändelser | Recensioner och Uppdateringar | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Innehåll i granskningsposter
ID: NIST SP 800-53 Rev. 4 AU-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 – Innehåll i granskningsposter | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Ytterligare granskningsinformation
ID: NIST SP 800-53 Rev. 4 AU-3 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1108 – Innehåll i granskningsposter | Ytterligare granskningsinformation | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Centraliserad hantering av innehåll för planerad granskningspost
ID: NIST SP 800-53 Rev. 4 AU-3 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1109 – Innehåll i granskningsposter | Centraliserad hantering av innehåll för planerad granskningspost | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Granska lagringskapacitet
ID: NIST SP 800-53 Rev. 4 AU-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 – Granska lagringskapacitet | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Svar på granskningsbearbetningsfel
ID: NIST SP 800-53 Rev. 4 AU-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 – Svar på fel vid granskningsbearbetning | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1112 – Svar på fel vid granskningsbearbetning | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Granska lagringskapacitet
ID: NIST SP 800-53 Rev. 4 AU-5 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1113 – Svar på fel vid granskningsbearbetning | Granska lagringskapacitet | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Realtidsaviseringar
ID: NIST SP 800-53 Rev. 4 AU-5 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1114 – Svar på fel vid granskningsbearbetning | Realtidsaviseringar | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Granskning, analys och rapportering
ID: NIST SP 800-53 Rev. 4 AU-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 4.0.1-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1115 – Granskningsgranskning, analys och rapportering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1116 – Granskningsgranskning, analys och rapportering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
Processintegration
ID: NIST SP 800-53 Rev. 4 AU-6 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1117 – Granskningsgranskning, analys och rapportering | Processintegrering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Korrelera granskningsdatabaser
ID: NIST SP 800-53 Rev. 4 AU-6 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1118 – Granskningsgranskning, analys och rapportering | Korrelera granskningsdatabaser | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Central granskning och analys
ID: NIST SP 800-53 Rev. 4 AU-6 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 4.0.1-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning | Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1119 – Granskningsgranskning, analys och rapportering | Central granskning och analys | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Integrerings-/genomsöknings- och övervakningsfunktioner
ID: NIST SP 800-53 Rev. 4 AU-6 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 4.0.1-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning | Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1120 – Granskningsgranskning, analys och rapportering | Integrerings-/genomsöknings- och övervakningsfunktioner | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Korrelation med fysisk övervakning
ID: NIST SP 800-53 Rev. 4 AU-6 (6) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1121 – Granskningsgranskning, analys och rapportering | Korrelation med fysisk övervakning | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Tillåtna åtgärder
ID: NIST SP 800-53 Rev. 4 AU-6 (7) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1122 – Granskningsgranskning, analys och rapportering | Tillåtna åtgärder | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Justering av granskningsnivå
ID: NIST SP 800-53 Rev. 4 AU-6 (10) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1123 – Granskningsgranskning, analys och rapportering | Justering av granskningsnivå | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Granskningsminskning och rapportgenerering
ID: NIST SP 800-53 Rev. 4 AU-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 – Granskningsminskning och rapportgenerering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1125 – Granskningsminskning och rapportgenerering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Automatisk bearbetning
ID: NIST SP 800-53 Rev. 4 AU-7 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1126 – Granskningsminskning och rapportgenerering | Automatisk bearbetning | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Tidsstämplar
ID: NIST SP 800-53 Rev. 4 AU-8 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 – Tidsstämplar | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1128 – Tidsstämplar | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Synkronisering med auktoritativ tidskälla
ID: NIST SP 800-53 Rev. 4 AU-8 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1129 – Tidsstämplar | Synkronisering med auktoritativ tidskälla | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1130 – Tidsstämplar | Synkronisering med auktoritativ tidskälla | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Skydd av granskningsinformation
ID: NIST SP 800-53 Rev. 4 AU-9 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 – Skydd av granskningsinformation | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Granska säkerhetskopiering på separata fysiska system/komponenter
ID: NIST SP 800-53 Rev. 4 AU-9 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1132 – Skydd av granskningsinformation | Granska säkerhetskopiering på separata fysiska system/komponenter | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Kryptografiskt skydd
ID: NIST SP 800-53 Rev. 4 AU-9 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1133 – Skydd av granskningsinformation | Kryptografiskt skydd | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Åtkomst efter delmängd av privilegierade användare
ID: NIST SP 800-53 Rev. 4 AU-9 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1134 – Skydd av granskningsinformation | Åtkomst efter delmängd av privilegierade användare | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Oavvislighet
ID: NIST SP 800-53 Rev. 4 AU-10 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 – Icke-avvislighet | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Kvarhållning av granskningsposter
ID: NIST SP 800-53 Rev. 4 AU-11 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 – Kvarhållning av granskningsposter | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 3.0.0 |
Granskningsgenerering
ID: NIST SP 800-53 Rev. 4 AU-12 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 4.0.1-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning | Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1137 – Granskningsgenerering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1138 – Granskningsgenerering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Microsoft Managed Control 1139 – Granskningsgenerering | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Systemomfattande/tidskorrelerad spårningslogg
ID: NIST SP 800-53 Rev. 4 AU-12 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 4.0.1-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning | Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1140 – Granskningsgenerering | Systemomfattande/tidskorrelerad spårningslogg | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Ändringar av auktoriserade personer
ID: NIST SP 800-53 Rev. 4 AU-12 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1141 – Granskningsgenerering | Ändringar av auktoriserade personer | Microsoft implementerar den här kontrollen för granskning och ansvarsskyldighet | granska | 1.0.0 |
Säkerhetsbedömning och auktorisering
Principer och procedurer för säkerhetsbedömning och auktorisering
ID: NIST SP 800-53 Rev. 4 CA-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1142 – Certifiering, auktorisering, policy och procedurer för säkerhetsutvärdering | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1143 – Certifiering, auktorisering, policy och procedurer för säkerhetsutvärdering | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Säkerhetsutvärderingar
ID: NIST SP 800-53 Rev. 4 CA-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1144 – Säkerhetsutvärderingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1145 – Säkerhetsutvärderingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1146 – Säkerhetsutvärderingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1147 – Säkerhetsutvärderingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Oberoende bedömare
ID: NIST SP 800-53 Rev. 4 CA-2 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1148 – Säkerhetsutvärderingar | Oberoende bedömare | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Specialiserade utvärderingar
ID: NIST SP 800-53 Rev. 4 CA-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1149 – Säkerhetsutvärderingar | Specialiserade utvärderingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Externa organisationer
ID: NIST SP 800-53 Rev. 4 CA-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1150 – Säkerhetsutvärderingar | Externa organisationer | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Systemsammankopplingar
ID: NIST SP 800-53 Rev. 4 CA-3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1151 – Systemsammankopplingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1152 – Systemsammankopplingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1153 – Systemsammankopplingar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Oklassificerade icke-nationella säkerhetssystem Anslut ions
ID: NIST SP 800-53 Rev. 4 CA-3 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1154 – Systemsammankopplingar | Oklassificerade icke-nationella säkerhetssystem Anslut ions | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Begränsningar för externa system Anslut ions
ID: NIST SP 800-53 Rev. 4 CA-3 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1155 – Systemsammankopplingar | Begränsningar för externa system Anslut ions | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Åtgärdsplan och milstolpar
ID: NIST SP 800-53 Rev. 4 CA-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 – åtgärdsplan och milstolpar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1157 – åtgärdsplan och milstolpar | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Säkerhetsauktorisering
ID: NIST SP 800-53 Rev. 4 CA-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1158 – Säkerhetsauktorisering | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1159 – Säkerhetsauktorisering | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1160 – Säkerhetsauktorisering | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Kontinuerlig övervakning
ID: NIST SP 800-53 Rev. 4 CA-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 – kontinuerlig övervakning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1162 – kontinuerlig övervakning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1163 – kontinuerlig övervakning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1164 – kontinuerlig övervakning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1165 – kontinuerlig övervakning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1166 – kontinuerlig övervakning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1167 – kontinuerlig övervakning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Oberoende utvärdering
ID: NIST SP 800-53 Rev. 4 CA-7 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1168 – Kontinuerlig övervakning | Oberoende utvärdering | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Trendanalyser
ID: NIST SP 800-53 Rev. 4 CA-7 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1169 – Kontinuerlig övervakning | Trendanalyser | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Intrångstester
ID: NIST SP 800-53 Rev. 4 CA-8 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 – Intrångstestning | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Oberoende intrångsagent eller team
ID: NIST SP 800-53 Rev. 4 CA-8 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1171 – Intrångstestning | Oberoende intrångsagent eller team | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Interna system Anslut ions
ID: NIST SP 800-53 Rev. 4 CA-9 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 – Internt system Anslut ions | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1173 – Internt system Anslut ions | Microsoft implementerar den här säkerhetsbedömnings- och auktoriseringskontrollen | granska | 1.0.0 |
Konfigurationshantering
Princip och procedurer för konfigurationshantering
ID: NIST SP 800-53 Rev. 4 CM-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 – Princip och procedurer för konfigurationshantering | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1175 – Princip och procedurer för konfigurationshantering | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Baslinjekonfiguration
ID: NIST SP 800-53 Rev. 4 CM-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 – Baslinjekonfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Recensioner och Uppdateringar
ID: NIST SP 800-53 Rev. 4 CM-2 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1177 – Baslinjekonfiguration | Recensioner och Uppdateringar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1178 – Baslinjekonfiguration | Recensioner och Uppdateringar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1179 – Baslinjekonfiguration | Recensioner och Uppdateringar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Automation-stöd för noggrannhet/valuta
ID: NIST SP 800-53 Rev. 4 CM-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1180 – Baslinjekonfiguration | Automation-stöd för noggrannhet/valuta | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Kvarhållning av tidigare konfigurationer
ID: NIST SP 800-53 Rev. 4 CM-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1181 – Baslinjekonfiguration | Kvarhållning av tidigare konfigurationer | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Konfigurera system, komponenter eller enheter för högriskområden
ID: NIST SP 800-53 Rev. 4 CM-2 (7) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1182 – Baslinjekonfiguration | Konfigurera system, komponenter eller enheter för högriskområden | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1183 – Baslinjekonfiguration | Konfigurera system, komponenter eller enheter för högriskområden | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Ändringskontroll för konfiguration
ID: NIST SP 800-53 Rev. 4 CM-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1184 – Ändringskontroll för konfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1185 – Ändringskontroll för konfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1186 – Ändringskontroll för konfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1187 – Ändringskontroll för konfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1188 – Ändringskontroll för konfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1189 – Ändringskontroll för konfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1190 – Ändringskontroll för konfiguration | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Automatiserat dokument/meddelande/förbud mot ändringar
ID: NIST SP 800-53 Rev. 4 CM-3 (1) Ägarskap: Delat
Testa/verifiera/dokumentändringar
ID: NIST SP 800-53 Rev. 4 CM-3 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1197 – Ändringskontroll för konfiguration | Testa/verifiera/dokumentändringar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Säkerhetsrepresentant
ID: NIST SP 800-53 Rev. 4 CM-3 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1198 – Ändringskontroll för konfiguration | Säkerhetsrepresentant | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Kryptografihantering
ID: NIST SP 800-53 Rev. 4 CM-3 (6) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1199 – Ändringskontroll för konfiguration | Kryptografihantering | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Analys av säkerhetspåverkan
ID: NIST SP 800-53 Rev. 4 CM-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 – Analys av säkerhetspåverkan | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Separata testmiljöer
ID: NIST SP 800-53 Rev. 4 CM-4 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1201 – Analys av säkerhetspåverkan | Separata testmiljöer | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Åtkomstbegränsningar för ändring
ID: NIST SP 800-53 Rev. 4 CM-5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 – Åtkomstbegränsningar för ändring | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Automatisk åtkomsttillämpning/granskning
ID: NIST SP 800-53 Rev. 4 CM-5 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1203 – Åtkomstbegränsningar för ändring | Automatisk åtkomsttillämpning/granskning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Granska systemändringar
ID: NIST SP 800-53 Rev. 4 CM-5 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1204 – Åtkomstbegränsningar för ändring | Granska systemändringar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Signerade komponenter
ID: NIST SP 800-53 Rev. 4 CM-5 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1205 – Åtkomstbegränsningar för ändring | Signerade komponenter | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Begränsa produktion/driftbehörigheter
ID: NIST SP 800-53 Rev. 4 CM-5 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1206 – Åtkomstbegränsningar för ändring | Begränsa produktion/driftbehörigheter | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1207 – Åtkomstbegränsningar för ändring | Begränsa produktion/driftbehörigheter | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Konfiguration Inställningar
ID: NIST SP 800-53 Rev. 4 CM-6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
| App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. | Granskning, inaktiverad | 1.0.2 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.0 |
| Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.1 |
| Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.0 |
| Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 1.5.0 |
| Microsoft Managed Control 1208 – Konfiguration Inställningar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1209 – Konfiguration Inställningar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1210 – Konfiguration Inställningar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1211 – Konfiguration Inställningar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 1.0.0 |
Automatiserad central hantering/program/verifiering
ID: NIST SP 800-53 Rev. 4 CM-6 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1212 – Konfiguration Inställningar | Automatiserad central hantering/program/verifiering | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Svara på obehöriga ändringar
ID: NIST SP 800-53 Rev. 4 CM-6 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1213 – Konfiguration Inställningar | Svara på obehöriga ändringar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Minst funktionalitet
ID: NIST SP 800-53 Rev. 4 CM-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Managed Control 1214 – Minst funktionalitet | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1215 – Minst funktionalitet | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Periodisk granskning
ID: NIST SP 800-53 Rev. 4 CM-7 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1216 – Minst funktionalitet | Periodisk granskning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1217 – Minst funktionalitet | Periodisk granskning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Förhindra programkörning
ID: NIST SP 800-53 Rev. 4 CM-7 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1218 – Minsta funktionalitet | Förhindra programkörning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Auktoriserad programvara/vitlistning
ID: NIST SP 800-53 Rev. 4 CM-7 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1219 – Minsta funktionalitet | Auktoriserad programvara/vitlistning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1220 – Minsta funktionalitet | Auktoriserad programvara/vitlistning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1221 – Minsta funktionalitet | Auktoriserad programvara/vitlistning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Information System Component Inventory
ID: NIST SP 800-53 Rev. 4 CM-8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 – Information System Component Inventory | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1223 – Information System Component Inventory | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Uppdateringar under installationer/borttagningar
ID: NIST SP 800-53 Rev. 4 CM-8 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1224 – Information System Component Inventory | Uppdateringar under installationer/borttagningar | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Automatiserat underhåll
ID: NIST SP 800-53 Rev. 4 CM-8 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 – Information System Component Inventory | Automatiserat underhåll | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Automatisk identifiering av obehöriga komponenter
ID: NIST SP 800-53 Rev. 4 CM-8 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1226 – Information System Component Inventory | Automatisk identifiering av obehöriga komponenter | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1227 – Information System Component Inventory | Automatisk identifiering av obehöriga komponenter | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Ansvarighetsinformation
ID: NIST SP 800-53 Rev. 4 CM-8 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1228 – Information System Component Inventory | Ansvarighetsinformation | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Ingen duplicerad redovisning av komponenter
ID: NIST SP 800-53 Rev. 4 CM-8 (5) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1229 – Information System Component Inventory | Ingen duplicerad redovisning av komponenter | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Konfigurationshanteringsplan
ID: NIST SP 800-53 Rev. 4 CM-9 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 – Konfigurationshanteringsplan | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1231 – Konfigurationshanteringsplan | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1232 – Konfigurationshanteringsplan | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1233 – Konfigurationshanteringsplan | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Begränsningar för programvaruanvändning
ID: NIST SP 800-53 Rev. 4 CM-10 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1234 – Begränsningar för programvaruanvändning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1235 – Begränsningar för programanvändning | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1236 – Användningsbegränsningar för programvara | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Programvara med öppen källkod
ID: NIST SP 800-53 Rev. 4 CM-10 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1237 – Begränsningar för programvaruanvändning | Programvara med öppen källkod | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Användarinstallerad programvara
ID: NIST SP 800-53 Rev. 4 CM-11 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1238 – Användarinstallerad programvara | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1239 – användarinstallerad programvara | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1240 – användarinstallerad programvara | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Aviseringar för obehöriga installationer
ID: NIST SP 800-53 Rev. 4 CM-11 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1241 – Användarinstallerad programvara | Aviseringar för obehöriga installationer | Microsoft implementerar den här konfigurationshanteringskontrollen | granska | 1.0.0 |
Beredskapsplanering
Policy och procedurer för beredskapsplanering
ID: NIST SP 800-53 Rev. 4 CP-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 – Policy och procedurer för beredskapsplanering | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1243 – Policy och procedurer för beredskapsplanering | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Beredskapsplan
ID: NIST SP 800-53 Rev. 4 CP-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 – beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1245 – beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1246 – beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1247 – beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1248 – beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1249 – beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1250 – beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Samordna med relaterade planer
ID: NIST SP 800-53 Rev. 4 CP-2 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1251 – Beredskapsplan | Samordna med relaterade planer | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Kapacitetsplanering
ID: NIST SP 800-53 Rev. 4 CP-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1252 – Beredskapsplan | Kapacitetsplanering | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Återuppta viktiga uppdrag/affärsfunktioner
ID: NIST SP 800-53 Rev. 4 CP-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1253 – Beredskapsplan | Återuppta viktiga uppdrag/affärsfunktioner | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Återuppta alla uppdrag/affärsfunktioner
ID: NIST SP 800-53 Rev. 4 CP-2 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1254 – Beredskapsplan | Återuppta alla uppdrag/affärsfunktioner | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Fortsätt viktiga uppdrag/affärsfunktioner
ID: NIST SP 800-53 Rev. 4 CP-2 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1255 – Beredskapsplan | Fortsätt viktiga uppdrag/affärsfunktioner | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Identifiera kritiska tillgångar
ID: NIST SP 800-53 Rev. 4 CP-2 (8) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1256 – Beredskapsplan | Identifiera kritiska tillgångar | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Beredskapsträning
ID: NIST SP 800-53 Rev. 4 CP-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 – Beredskapsutbildning | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1258 – Beredskapsutbildning | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1259 – Beredskapsutbildning | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Simulerade händelser
ID: NIST SP 800-53 Rev. 4 CP-3 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1260 – Beredskapsträning | Simulerade händelser | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Testning av beredskapsplan
ID: NIST SP 800-53 Rev. 4 CP-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 – Testning av beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1262 – Testning av beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1263 – Testning av beredskapsplan | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Samordna med relaterade planer
ID: NIST SP 800-53 Rev. 4 CP-4 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1264 – Testning av beredskapsplan | Samordna med relaterade planer | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Alternativ bearbetningsplats
ID: NIST SP 800-53 Rev. 4 CP-4 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1265 – Testning av beredskapsplan | Alternativ bearbetningsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1266 – Testning av beredskapsplan | Alternativ bearbetningsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Alternativ lagringsplats
ID: NIST SP 800-53 Rev. 4 CP-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant lagring ska vara aktiverat för lagringskonton | Använda geo-redundans för att skapa program med hög tillgänglighet | Granskning, inaktiverad | 1.0.0 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Microsoft Managed Control 1267 – alternativ lagringsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1268 – alternativ lagringsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Separation från primär plats
ID: NIST SP 800-53 Rev. 4 CP-6 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant lagring ska vara aktiverat för lagringskonton | Använda geo-redundans för att skapa program med hög tillgänglighet | Granskning, inaktiverad | 1.0.0 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Microsoft Managed Control 1269 – alternativ lagringsplats | Separation från primär plats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Återställningstid/punktmål
ID: NIST SP 800-53 Rev. 4 CP-6 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1270 – alternativ lagringsplats | Återställningstid/punktmål | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Tillgänglighet
ID: NIST SP 800-53 Rev. 4 CP-6 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1271 – alternativ lagringsplats | Tillgänglighet | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Alternativ bearbetningsplats
ID: NIST SP 800-53 Rev. 4 CP-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 – alternativ bearbetningsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1273 – alternativ bearbetningsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1274 – alternativ bearbetningsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Separation från primär plats
ID: NIST SP 800-53 Rev. 4 CP-7 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1275 – alternativ bearbetningsplats | Separation från primär plats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Tillgänglighet
ID: NIST SP 800-53 Rev. 4 CP-7 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1276 – alternativ bearbetningsplats | Tillgänglighet | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Tjänstens prioritet
ID: NIST SP 800-53 Rev. 4 CP-7 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1277 – alternativ bearbetningsplats | Tjänstens prioritet | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Förberedelse för användning
ID: NIST SP 800-53 Rev. 4 CP-7 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1278 – alternativ bearbetningsplats | Förberedelse för användning | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Teletjänster
ID: NIST SP 800-53 Rev. 4 CP-8 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 – telekommunikationstjänster | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Prioritet för tjänstbestämmelser
ID: NIST SP 800-53 Rev. 4 CP-8 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1280 – Telekommunikationstjänster | Prioritet för tjänstbestämmelser | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1281 – Telekommunikationstjänster | Prioritet för tjänstbestämmelser | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Enstaka felpunkter
ID: NIST SP 800-53 Rev. 4 CP-8 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1282 – Telekommunikationstjänster | Enstaka felpunkter | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Separation av primära/alternativa providrar
ID: NIST SP 800-53 Rev. 4 CP-8 (3) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1283 – Telekommunikationstjänster | Separation av primära/alternativa providrar | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Beredskapsplan för leverantör
ID: NIST SP 800-53 Rev. 4 CP-8 (4) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1284 – Telekommunikationstjänster | Beredskapsplan för leverantör | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1285 – Telekommunikationstjänster | Beredskapsplan för leverantör | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1286 – Telekommunikationstjänster | Beredskapsplan för leverantör | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Säkerhetskopiering av informationssystem
ID: NIST SP 800-53 Rev. 4 CP-9 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1287 – Säkerhetskopiering av informationssystem | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1288 – Säkerhetskopiering av informationssystem | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1289 – Säkerhetskopiering av informationssystem | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1290 – Säkerhetskopiering av informationssystem | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Testning för tillförlitlighet/integritet
ID: NIST SP 800-53 Rev. 4 CP-9 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1291 – Säkerhetskopiering av informationssystem | Testning för tillförlitlighet/integritet | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Teståterställning med sampling
ID: NIST SP 800-53 Rev. 4 CP-9 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1292 – Säkerhetskopiering av informationssystem | Teståterställning med sampling | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Separat lagring för viktig information
ID: NIST SP 800-53 Rev. 4 CP-9 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1293 – Säkerhetskopiering av informationssystem | Separat lagring för viktig information | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Överföra till en alternativ lagringsplats
ID: NIST SP 800-53 Rev. 4 CP-9 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1294 – Säkerhetskopiering av informationssystem | Överföra till en alternativ lagringsplats | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Återställning och återställning av informationssystem
ID: NIST SP 800-53 Rev. 4 CP-10 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 – Återställning och återställning av informationssystem | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Transaktionsåterställning
ID: NIST SP 800-53 Rev. 4 CP-10 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1296 – Återställning och återställning av informationssystem | Transaktionsåterställning | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Återställ inom en tidsperiod
ID: NIST SP 800-53 Rev. 4 CP-10 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1297 – Återställning och återställning av informationssystem | Återställ inom en tidsperiod | Microsoft implementerar den här beredskapsplaneringskontrollen | granska | 1.0.0 |
Identifiering och autentisering
Principer och procedurer för identifiering och autentisering
ID: NIST SP 800-53 Rev. 4 IA-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 – Princip och procedurer för identifiering och autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1299 – Princip och procedurer för identifiering och autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Identifiering och autentisering (organisationsanvändare)
ID: NIST SP 800-53 Rev. 4 IA-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1300 – användaridentifiering och autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Nätverksåtkomst till privilegierade konton
ID: NIST SP 800-53 Rev. 4 IA-2 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Managed Control 1301 – Användaridentifiering och autentisering | Nätverksåtkomst till privilegierade konton | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Nätverksåtkomst till icke-privilegierade konton
ID: NIST SP 800-53 Rev. 4 IA-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Managed Control 1302 – Användaridentifiering och autentisering | Nätverksåtkomst till icke-privilegierade konton | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Lokal åtkomst till privilegierade konton
ID: NIST SP 800-53 Rev. 4 IA-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1303 – Användaridentifiering och autentisering | Lokal åtkomst till privilegierade konton | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Lokal åtkomst till icke-privilegierade konton
ID: NIST SP 800-53 Rev. 4 IA-2 (4) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1304 – Användaridentifiering och autentisering | Lokal åtkomst till icke-privilegierade konton | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Gruppautentisering
ID: NIST SP 800-53 Rev. 4 IA-2 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 – Användaridentifiering och autentisering | Gruppautentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Nätverksåtkomst till privilegierade konton – Återspelningsbeständig
ID: NIST SP 800-53 Rev. 4 IA-2 (8) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1306 – Användaridentifiering och autentisering | Nätverksåtkomst till privilegierade konton – Spela upp... | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Nätverksåtkomst till icke-privilegierade konton – Återspelningsbeständig
ID: NIST SP 800-53 Rev. 4 IA-2 (9) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1307 – Användaridentifiering och autentisering | Nätverksåtkomst till icke-privilegierade konton – Spela upp... | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Fjärråtkomst – separat enhet
ID: NIST SP 800-53 Rev. 4 IA-2 (11) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1308 – Användaridentifiering och autentisering | Fjärråtkomst – separat enhet | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Godkännande av Piv-autentiseringsuppgifter
ID: NIST SP 800-53 Rev. 4 IA-2 (12) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 – Användaridentifiering och autentisering | Godkännande av Piv-autentiseringsuppgifter | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Enhetsidentifiering och autentisering
ID: NIST SP 800-53 Rev. 4 IA-3 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 – Enhetsidentifiering och autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Hantering av identifierare
ID: NIST SP 800-53 Rev. 4 IA-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1311 – Identifierarhantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1312 – Identifierarhantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1313 – Identifierarhantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1314 – Identifierarhantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1315 – Identifierarhantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Identifiera användarstatus
ID: NIST SP 800-53 Rev. 4 IA-4 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1316 – Identifierarhantering | Identifiera användarstatus | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Autentiseringshantering
ID: NIST SP 800-53 Rev. 4 IA-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 1.4.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 1.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1318 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1319 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1320 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1321 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1322 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1323 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1324 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1325 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1326 – Autentiseringshantering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Lösenordsbaserad autentisering
ID: NIST SP 800-53 Rev. 4 IA-5 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 1.3.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 1.4.0 |
| Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 | AuditIfNotExists, inaktiverad | 1.1.0 |
| Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den högsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för maximal lösenordsålder är 70 dagar | AuditIfNotExists, inaktiverad | 1.1.0 |
| Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den lägsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för lägsta lösenordsålder är 1 dag | AuditIfNotExists, inaktiverad | 1.1.0 |
| Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken | AuditIfNotExists, inaktiverad | 1.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 1.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1327 – Autentiseringshantering | Lösenordsbaserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1328 – Autentiseringshantering | Lösenordsbaserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1329 – Autentiseringshantering | Lösenordsbaserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1330 – Autentiseringshantering | Lösenordsbaserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1331 – Autentiseringshantering | Lösenordsbaserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1332 – Autentiseringshantering | Lösenordsbaserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Pki-baserad autentisering
ID: NIST SP 800-53 Rev. 4 IA-5 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1333 – Autentiseringshantering | Pki-baserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1334 – Autentiseringshantering | Pki-baserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1335 – Autentiseringshantering | Pki-baserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1336 – Autentiseringshantering | Pki-baserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Personlig eller betrodd registrering från tredje part
ID: NIST SP 800-53 Rev. 4 IA-5 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1337 – Autentiseringshantering | Personlig eller betrodd registrering från tredje part | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Automatiserat stöd för bestämning av lösenordsstyrka
ID: NIST SP 800-53 Rev. 4 IA-5 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1338 – Autentiseringshantering | Automatiserat stöd för bestämning av lösenordsstyrka | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Skydd av autentiserare
ID: NIST SP 800-53 Rev. 4 IA-5 (6) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1339 – Autentiseringshantering | Skydd av autentiserare | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Inga inbäddade okrypterade statiska autentiserare
ID: NIST SP 800-53 Rev. 4 IA-5 (7) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1340 – Autentiseringshantering | Inga inbäddade okrypterade statiska autentiserare | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Flera informationssystemkonton
ID: NIST SP 800-53 Rev. 4 IA-5 (8) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1341 – Autentiseringshantering | Flera informationssystemkonton | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Maskinvarutokenbaserad autentisering
ID: NIST SP 800-53 Rev. 4 IA-5 (11) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1342 – Autentiseringshantering | Maskinvarutokenbaserad autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Förfallodatum för cachelagrade autentiserare
ID: NIST SP 800-53 Rev. 4 IA-5 (13) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1343 – Autentiseringshantering | Förfallodatum för cachelagrade autentiserare | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Feedback om autentisering
ID: NIST SP 800-53 Rev. 4 IA-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 – Feedback om autentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Autentisering av kryptografisk modul
ID: NIST SP 800-53 Rev. 4 IA-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 – Krypteringsmodulautentisering | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Identifiering och autentisering (icke-organisatoriska användare)
ID: NIST SP 800-53 Rev. 4 IA-8 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 – Identifiering och autentisering (icke-organisatoriska användare) | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Godkännande av Piv-autentiseringsuppgifter från andra byråer
ID: NIST SP 800-53 Rev. 4 IA-8 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1347 – Identifiering och autentisering (icke-organisatoriska användare) | Godkännande av Piv-autentiseringsuppgifter... | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Godkännande av autentiseringsuppgifter från tredje part
ID: NIST SP 800-53 Rev. 4 IA-8 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1348 – Identifiering och autentisering (icke-organisatoriska användare) | Godkännande av tredje part... | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Användning av Ficam-godkända produkter
ID: NIST SP 800-53 Rev. 4 IA-8 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1349 – Identifiering och autentisering (icke-organisatoriska användare) | Användning av Ficam-godkända produkter | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Användning av Ficam-utfärdade profiler
ID: NIST SP 800-53 Rev. 4 IA-8 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1350 – Identifiering och autentisering (icke-organisatoriska användare) | Användning av Ficam-utfärdade profiler | Microsoft implementerar den här identifierings- och autentiseringskontrollen | granska | 1.0.0 |
Incidentsvar
Policy och procedurer för incidenthantering
ID: NIST SP 800-53 Rev. 4 IR-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 – Policy och procedurer för incidenthantering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1352 – Policy och procedurer för incidenthantering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Incidenthanteringsträning
ID: NIST SP 800-53 Rev. 4 IR-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 – Incidenthanteringsutbildning | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1354 – Incidenthanteringsutbildning | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1355 – Incidenthanteringsutbildning | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Simulerade händelser
ID: NIST SP 800-53 Rev. 4 IR-2 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1356 – Incidenthanteringsutbildning | Simulerade händelser | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Automatiserade träningsmiljöer
ID: NIST SP 800-53 Rev. 4 IR-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1357 – Incidenthanteringsträning | Automatiserade träningsmiljöer | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Incidenthanteringstestning
ID: NIST SP 800-53 Rev. 4 IR-3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 – Incidenthanteringstestning | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Samordning med relaterade planer
ID: NIST SP 800-53 Rev. 4 IR-3 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1359 – Incidenthanteringstestning | Samordning med relaterade planer | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Incidenthantering
ID: NIST SP 800-53 Rev. 4 IR-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1360 – Incidenthantering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1361 – Incidenthantering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1362 – Incidenthantering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Automatiserade processer för incidenthantering
ID: NIST SP 800-53 Rev. 4 IR-4 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1363 – Incidenthantering | Automatiserade processer för incidenthantering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Dynamisk omkonfiguration
ID: NIST SP 800-53 Rev. 4 IR-4 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1364 – Incidenthantering | Dynamisk omkonfiguration | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Verksamhetskontinuitet
ID: NIST SP 800-53 Rev. 4 IR-4 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1365 – Incidenthantering | Verksamhetskontinuitet | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Informationskorrelation
ID: NIST SP 800-53 Rev. 4 IR-4 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1366 – Incidenthantering | Informationskorrelation | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Insiderhot – specifika funktioner
ID: NIST SP 800-53 Rev. 4 IR-4 (6) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1367 – Incidenthantering | Insiderhot – specifika funktioner | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Korrelation med externa organisationer
ID: NIST SP 800-53 Rev. 4 IR-4 (8) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1368 – Incidenthantering | Korrelation med externa organisationer | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Incidentövervakning
ID: NIST SP 800-53 Rev. 4 IR-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1369 – Incidentövervakning | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Automatiserad spårning/datainsamling/analys
ID: NIST SP 800-53 Rev. 4 IR-5 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1370 – Incidentövervakning | Automatiserad spårning/datainsamling/analys | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Incidentrapportering
ID: NIST SP 800-53 Rev. 4 IR-6 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 – Incidentrapportering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1372 – Incidentrapportering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Automatiserad rapportering
ID: NIST SP 800-53 Rev. 4 IR-6 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1373 – Incidentrapportering | Automatiserad rapportering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Sårbarheter relaterade till incidenter
ID: NIST SP 800-53 Rev. 4 IR-6 (2) Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Hjälp med incidenthantering
ID: NIST SP 800-53 Rev. 4 IR-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 – Hjälp med incidenthantering | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Automation-stöd för tillgänglighet för information/support
ID: NIST SP 800-53 Rev. 4 IR-7 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1375 – Hjälp med incidenthantering | Automation-stöd för tillgänglighet för information/support | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Samordning med externa leverantörer
ID: NIST SP 800-53 Rev. 4 IR-7 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1376 – Hjälp med incidenthantering | Samordning med externa leverantörer | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1377 – Hjälp med incidenthantering | Samordning med externa leverantörer | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Incidenthanteringsplan
ID: NIST SP 800-53 Rev. 4 IR-8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 – Incidenthanteringsplan | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1379 – Incidenthanteringsplan | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1380 – Incidenthanteringsplan | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1381 – Incidenthanteringsplan | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1382 – Incidenthanteringsplan | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1383 – Incidenthanteringsplan | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Svar på informationsspill
ID: NIST SP 800-53 Rev. 4 IR-9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1384 – Svar på informationsspill | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1385 – Svar om informationsspill | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1386 – Svar på informationsspill | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1387 – Svar på informationsspill | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1388 – Svar på informationsspill | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1389 – Svar om informationsspill | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Ansvarig personal
ID: NIST SP 800-53 Rev. 4 IR-9 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1390 – Svar på informationsspill | Ansvarig personal | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Utbildning
ID: NIST SP 800-53 Rev. 4 IR-9 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1391 – Svar på informationsspill | Utbildning | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Åtgärder efter spill
ID: NIST SP 800-53 Rev. 4 IR-9 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1392 – Svar på informationsspill | Åtgärder efter spill | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Exponering för obehörig personal
ID: NIST SP 800-53 Rev. 4 IR-9 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1393 – Svar på informationsspill | Exponering för obehörig personal | Microsoft implementerar den här incidenthanteringskontrollen | granska | 1.0.0 |
Underhåll
Principer och procedurer för systemunderhåll
ID: NIST SP 800-53 Rev. 4 MA-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 – Princip och procedurer för systemunderhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1395 – Principer och procedurer för systemunderhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Kontrollerat underhåll
ID: NIST SP 800-53 Rev. 4 MA-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 – kontrollerat underhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1397 – Kontrollerat underhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1398 – Kontrollerat underhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1399 – Kontrollerat underhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1400 – kontrollerat underhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1401 – Kontrollerat underhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Automatiserade underhållsaktiviteter
ID: NIST SP 800-53 Rev. 4 MA-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1402 – Kontrollerat underhåll | Automatiserade underhållsaktiviteter | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1403 – Kontrollerat underhåll | Automatiserade underhållsaktiviteter | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Underhållsverktyg
ID: NIST SP 800-53 Rev. 4 MA-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 – Underhållsverktyg | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Granska verktyg
ID: NIST SP 800-53 Rev. 4 MA-3 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1405 – Underhållsverktyg | Granska verktyg | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Granska media
ID: NIST SP 800-53 Rev. 4 MA-3 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1406 – Underhållsverktyg | Granska media | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Förhindra obehörig borttagning
ID: NIST SP 800-53 Rev. 4 MA-3 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1407 – Underhållsverktyg | Förhindra obehörig borttagning | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1408 – Underhållsverktyg | Förhindra obehörig borttagning | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1409 – Underhållsverktyg | Förhindra obehörig borttagning | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1410 – Underhållsverktyg | Förhindra obehörig borttagning | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Ej lokaliserat underhåll
ID: NIST SP 800-53 Rev. 4 MA-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1411 – Fjärrunderhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1412 – Fjärrunderhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1413 – Fjärrunderhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1414 – Fjärrunderhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1415 – Fjärrunderhåll | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Dokumentera icke-lokaliserat underhåll
ID: NIST SP 800-53 Rev. 4 MA-4 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1416 – Fjärrunderhåll | Fjärrunderhåll för dokument | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Jämförbar säkerhet/sanitering
ID: NIST SP 800-53 Rev. 4 MA-4 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1417 – Fjärrunderhåll | Jämförbar säkerhet/sanitering | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1418 – Fjärrunderhåll | Jämförbar säkerhet/sanitering | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Kryptografiskt skydd
ID: NIST SP 800-53 Rev. 4 MA-4 (6) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1419 – Fjärrunderhåll | Kryptografiskt skydd | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Underhållspersonal
ID: NIST SP 800-53 Rev. 4 MA-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 – Underhållspersonal | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1421 – Underhållspersonal | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1422 – Underhållspersonal | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Individer utan lämplig åtkomst
ID: NIST SP 800-53 Rev. 4 MA-5 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1423 – Underhållspersonal | Individer utan lämplig åtkomst | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1424 – Underhållspersonal | Individer utan lämplig åtkomst | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Underhåll i tid
ID: NIST SP 800-53 Rev. 4 MA-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 – Underhåll i tid | Microsoft implementerar den här underhållskontrollen | granska | 1.0.0 |
Medieskydd
Principer och procedurer för medieskydd
ID: NIST SP 800-53 Rev. 4 MP-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 – Princip och procedurer för medieskydd | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1427 – Princip och procedurer för medieskydd | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Medieåtkomst
ID: NIST SP 800-53 Rev. 4 MP-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 – Medieåtkomst | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Mediemarkering
ID: NIST SP 800-53 Rev. 4 MP-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1429 – Medieetiketter | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1430 – Medieetiketter | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Medielagring
ID: NIST SP 800-53 Rev. 4 MP-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 – Media Storage | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1432 – Media Storage | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Medietransport
ID: NIST SP 800-53 Rev. 4 MP-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 – Media Transport | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1434 – Media Transport | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1435 – Media Transport | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1436 – Media Transport | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Kryptografiskt skydd
ID: NIST SP 800-53 Rev. 4 MP-5 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1437 – Media Transport | Kryptografiskt skydd | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Mediesanering
ID: NIST SP 800-53 Rev. 4 MP-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1438 – Hantering och bortskaffande av media | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1439 – Hantering och bortskaffande av media | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Granska/godkänna/spåra/dokument/verifiera
ID: NIST SP 800-53 Rev. 4 MP-6 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1440 – Hantering och borttagning av media | Granska/godkänna/spåra/dokument/verifiera | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Utrustningstestning
ID: NIST SP 800-53 Rev. 4 MP-6 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1441 – Hantering och borttagning av media | Utrustningstestning | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Icke-förstörande tekniker
ID: NIST SP 800-53 Rev. 4 MP-6 (3) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1442 – Mediesanering och borttagning | Icke-förstörande tekniker | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Medieanvändning
ID: NIST SP 800-53 Rev. 4 MP-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 – Medieanvändning | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Förhindra användning utan ägare
ID: NIST SP 800-53 Rev. 4 MP-7 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1444 – Medieanvändning | Förhindra användning utan ägare | Microsoft implementerar den här Media Protection-kontrollen | granska | 1.0.0 |
Fysiskt och miljöskydd
Politik och förfaranden för fysiskt och miljöskydd
ID: NIST SP 800-53 Rev. 4 PE-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 – policy och procedurer för fysisk och miljöskydd | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1446 – policy och procedurer för fysisk och miljöskydd | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Auktoriseringar för fysisk åtkomst
ID: NIST SP 800-53 Rev. 4 PE-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 – Auktoriseringar för fysisk åtkomst | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1448 – Auktoriseringar för fysisk åtkomst | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1449 – Auktoriseringar för fysisk åtkomst | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1450 – Auktoriseringar för fysisk åtkomst | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Fysisk åtkomstkontroll
ID: NIST SP 800-53 Rev. 4 PE-3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1451 – Fysisk åtkomstkontroll | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1452 – fysisk åtkomstkontroll | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1453 – fysisk åtkomstkontroll | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1454 – Fysisk åtkomstkontroll | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1455 – fysisk åtkomstkontroll | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1456 – Fysisk åtkomstkontroll | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1457 – fysisk åtkomstkontroll | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Åtkomst till informationssystem
ID: NIST SP 800-53 Rev. 4 PE-3 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1458 – Fysisk åtkomstkontroll | Åtkomst till informationssystem | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Åtkomstkontroll för överföringsmedium
ID: NIST SP 800-53 Rev. 4 PE-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 – åtkomstkontroll för överföringsmedium | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Åtkomstkontroll för utdataenheter
ID: NIST SP 800-53 Rev. 4 PE-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 – Åtkomstkontroll för utdataenheter | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Övervaka fysisk åtkomst
ID: NIST SP 800-53 Rev. 4 PE-6 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 – Övervaka fysisk åtkomst | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1462 – Övervaka fysisk åtkomst | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1463 – Övervaka fysisk åtkomst | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Intrångslarm/övervakningsutrustning
ID: NIST SP 800-53 Rev. 4 PE-6 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1464 – Övervakning av fysisk åtkomst | Intrångslarm/övervakningsutrustning | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Övervaka fysisk åtkomst till informationssystem
ID: NIST SP 800-53 Rev. 4 PE-6 (4) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1465 – Övervakning av fysisk åtkomst | Övervaka fysisk åtkomst till informationssystem | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Besökaråtkomstposter
ID: NIST SP 800-53 Rev. 4 PE-8 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 – Besöksåtkomstposter | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1467 – Besöksåtkomstposter | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Underhåll av automatiserade poster/granskning
ID: NIST SP 800-53 Rev. 4 PE-8 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1468 – Besöksåtkomstposter | Underhåll av automatiserade poster/granskning | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Strömutrustning och kablar
ID: NIST SP 800-53 Rev. 4 PE-9 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 – Strömutrustning och kablar | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Nödstängning
ID: NIST SP 800-53 Rev. 4 PE-10 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 – Nödstängning | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1471 – Nödstängning | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1472 – Nödstängning | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Nödström
ID: NIST SP 800-53 Rev. 4 PE-11 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 – Nödström | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Långsiktig alternativ strömförsörjning – minimal driftskapacitet
ID: NIST SP 800-53 Rev. 4 PE-11 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1474 – Nödström | Långsiktig alternativ strömförsörjning – minimal driftskapacitet | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Nödbelysning
ID: NIST SP 800-53 Rev. 4 PE-12 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 – Nödbelysning | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Brandskydd
ID: NIST SP 800-53 Rev. 4 PE-13 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 – Brandskydd | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Identifieringsenheter/system
ID: NIST SP 800-53 Rev. 4 PE-13 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1477 – Brandskydd | Identifieringsenheter/system | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Undertryckningsenheter/system
ID: NIST SP 800-53 Rev. 4 PE-13 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1478 – Fire Protection | Undertryckningsenheter/system | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Automatisk undertryckning av brand
ID: NIST SP 800-53 Rev. 4 PE-13 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1479 – Brandskydd | Automatisk undertryckning av brand | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Temperatur- och luftfuktighetskontroller
ID: NIST SP 800-53 Rev. 4 PE-14 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 – temperatur- och luftfuktighetskontroller | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1481 – temperatur- och luftfuktighetskontroller | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Övervakning med larm/meddelanden
ID: NIST SP 800-53 Rev. 4 PE-14 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1482 – Temperatur- och luftfuktighetskontroller | Övervakning med larm/meddelanden | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Skydd mot vattenskador
ID: NIST SP 800-53 Rev. 4 PE-15 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 – Skydd mot vattenskador | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Automation-support
ID: NIST SP 800-53 Rev. 4 PE-15 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1484 – Skydd mot vattenskador | Automation-support | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Leverans och borttagning
ID: NIST SP 800-53 Rev. 4 PE-16 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 – Leverans och borttagning | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Alternativ arbetswebbplats
ID: NIST SP 800-53 Rev. 4 PE-17 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 – alternativ arbetswebbplats | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1487 – alternativ arbetswebbplats | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1488 – alternativ arbetswebbplats | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Plats för informationssystemkomponenter
ID: NIST SP 800-53 Rev. 4 PE-18 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 – Plats för informationssystemkomponenter | Microsoft implementerar den här fysiska kontrollen och miljöskyddskontrollen | granska | 1.0.0 |
Planerad
Policy och procedurer för säkerhetsplanering
ID: NIST SP 800-53 Rev. 4 PL-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 – Policy och procedurer för säkerhetsplanering | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1491 – Policy och procedurer för säkerhetsplanering | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
Systemsäkerhetsplan
ID: NIST SP 800-53 Rev. 4 PL-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 – Systemsäkerhetsplan | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1493 – Systemsäkerhetsplan | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1494 – Systemsäkerhetsplan | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1495 – Systemsäkerhetsplan | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1496 – Systemsäkerhetsplan | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
Planera/samordna med andra organisationsentiteter
ID: NIST SP 800-53 Rev. 4 PL-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1497 – Systemsäkerhetsplan | Planera/samordna med andra organisationsentiteter | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
Beteenderegler
ID: NIST SP 800-53 Rev. 4 PL-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 – Beteenderegler | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1499 – Beteenderegler | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1500 – Beteenderegler | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1501 – Beteenderegler | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
Begränsningar för sociala medier och nätverk
ID: NIST SP 800-53 Rev. 4 PL-4 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1502 – Beteenderegler | Begränsningar för sociala medier och nätverk | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
Arkitektur för informationssäkerhet
ID: NIST SP 800-53 Rev. 4 PL-8 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 – Arkitektur för informationssäkerhet | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1504 – Arkitektur för informationssäkerhet | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1505 – Arkitektur för informationssäkerhet | Microsoft implementerar den här planeringskontrollen | granska | 1.0.0 |
Personalsäkerhet
Policy och procedurer för personalsäkerhet
ID: NIST SP 800-53 Rev. 4 PS-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 – Policy och procedurer för personalsäkerhet | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1507 – Personalsäkerhetspolicy och -procedurer | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Placeringsriskbeteckning
ID: NIST SP 800-53 Rev. 4 PS-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1508 – Kategorisering av positioner | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1509 – Kategorisering av positioner | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1510 – Kategorisering av position | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Personalkontroll
ID: NIST SP 800-53 Rev. 4 PS-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 – Personalkontroll | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1512 – Personalkontroll | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Information med särskilda skyddsåtgärder
ID: NIST SP 800-53 Rev. 4 PS-3 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1513 – Personalkontroll | Information med särskilda skyddsåtgärder | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1514 – Personalkontroll | Information med särskilda skyddsåtgärder | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Personalavslut
ID: NIST SP 800-53 Rev. 4 PS-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 – Personalavslut | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1516 – Personalavslut | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1517 – Personalavslut | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1518 – Personalavslut | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1519 – Personalavslut | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1520 – Personalavslut | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Automatiserat meddelande
ID: NIST SP 800-53 Rev. 4 PS-4 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1521 – Personalavslut | Automatiserat meddelande | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Personalöverföring
ID: NIST SP 800-53 Rev. 4 PS-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 – Personalöverföring | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1523 – Personalöverföring | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1524 – Personalöverföring | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1525 – Personalöverföring | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Åtkomstavtal
ID: NIST SP 800-53 Rev. 4 PS-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 – åtkomstavtal | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1527 – Åtkomstavtal | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1528 – åtkomstavtal | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Personalsäkerhet från tredje part
ID: NIST SP 800-53 Rev. 4 PS-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 – Personalsäkerhet från tredje part | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1530 – Personalsäkerhet från tredje part | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1531 – Personalsäkerhet från tredje part | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1532 – Personalsäkerhet från tredje part | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1533 – Personalsäkerhet från tredje part | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Personalpåföljder
ID: NIST SP 800-53 Rev. 4 PS-8 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 – Personalsanktioner | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1535 – Personalsanktioner | Microsoft implementerar den här personalsäkerhetskontrollen | granska | 1.0.0 |
Riskbedömning
Policy och procedurer för riskbedömning
ID: NIST SP 800-53 Rev. 4 RA-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 – Policy och procedurer för riskbedömning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1537 – Policy och procedurer för riskbedömning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Säkerhetskategorisering
ID: NIST SP 800-53 Rev. 4 RA-2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 – säkerhetskategorisering | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1539 – säkerhetskategorisering | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1540 – säkerhetskategorisering | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Riskbedömning
ID: NIST SP 800-53 Rev. 4 RA-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 – Riskbedömning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1542 – Riskbedömning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1543 – Riskbedömning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1544 – Riskbedömning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1545 – Riskbedömning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Sårbarhetsgenomsökning
ID: NIST SP 800-53 Rev. 4 RA-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1546 – Sårbarhetsgenomsökning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1547 – Sårbarhetsgenomsökning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1548 – Sårbarhetsgenomsökning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1549 – Sårbarhetsgenomsökning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1550 – Sårbarhetsgenomsökning | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| SQL-servrar på datorer bör ha sårbarhetsresultat lösta | SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas | Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Sårbarhetsbedömning ska aktiveras på dina Synapse-arbetsytor | Identifiera, spåra och åtgärda potentiella säkerhetsrisker genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på dina Synapse-arbetsytor. | AuditIfNotExists, inaktiverad | 1.0.0 |
Uppdateringsverktygsfunktion
ID: NIST SP 800-53 Rev. 4 RA-5 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1551 – Sårbarhetsgenomsökning | Uppdateringsverktygsfunktion | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Uppdatera efter frekvens/före ny genomsökning/när den identifieras
ID: NIST SP 800-53 Rev. 4 RA-5 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1552 – Sårbarhetsgenomsökning | Uppdatera efter frekvens/före ny genomsökning/när den identifieras | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Bredd/täckningsdjup
ID: NIST SP 800-53 Rev. 4 RA-5 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1553 – Sårbarhetsgenomsökning | Bredd/täckningsdjup | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Identifierbar information
ID: NIST SP 800-53 Rev. 4 RA-5 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1554 – Sårbarhetsgenomsökning | Identifierbar information | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Privilegierad åtkomst
ID: NIST SP 800-53 Rev. 4 RA-5 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1555 – Sårbarhetsgenomsökning | Privilegierad åtkomst | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Automatiserade trendanalyser
ID: NIST SP 800-53 Rev. 4 RA-5 (6) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1556 – Sårbarhetsgenomsökning | Automatiserade trendanalyser | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Granska historiska granskningsloggar
ID: NIST SP 800-53 Rev. 4 RA-5 (8) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1557 – Sårbarhetsgenomsökning | Granska historiska granskningsloggar | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Korrelera genomsökningsinformation
ID: NIST SP 800-53 Rev. 4 RA-5 (10) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1558 – Sårbarhetsgenomsökning | Korrelera genomsökningsinformation | Microsoft implementerar den här riskbedömningskontrollen | granska | 1.0.0 |
Förvärv av system och tjänster
Policy och procedurer för förvärv av system och tjänster
ID: NIST SP 800-53 Rev. 4 SA-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 – Policy och procedurer för förvärv av system och tjänster | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1560 – Policy och procedurer för förvärv av system och tjänster | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Allokering av resurser
ID: NIST SP 800-53 Rev. 4 SA-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 – Allokering av resurser | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1562 – Allokering av resurser | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1563 – Allokering av resurser | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Livscykel för systemutveckling
ID: NIST SP 800-53 Rev. 4 SA-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1564 – Livscykel för systemutveckling | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1565 – Livscykel för systemutveckling | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1566 – Livscykel för systemutveckling | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1567 – Livscykel för systemutveckling | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Förvärvsprocess
ID: NIST SP 800-53 Rev. 4 SA-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1568 – Förvärvsprocess | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1569 – Förvärvsprocess | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1570 – Förvärvsprocess | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1571 – Förvärvsprocess | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1572 – Förvärvsprocess | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1573 – Förvärvsprocess | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1574 – Förvärvsprocess | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Funktionella egenskaper för säkerhetskontroller
ID: NIST SP 800-53 Rev. 4 SA-4 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1575 – Förvärvsprocess | Funktionella egenskaper för säkerhetskontroller | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Design-/implementeringsinformation för säkerhetskontroller
ID: NIST SP 800-53 Rev. 4 SA-4 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1576 – Förvärvsprocess | Design-/implementeringsinformation för säkerhetskontroller | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Plan för kontinuerlig övervakning
ID: NIST SP 800-53 Rev. 4 SA-4 (8) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1577 – Förvärvsprocess | Plan för kontinuerlig övervakning | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Funktioner/portar/protokoll/Tjänster som används
ID: NIST SP 800-53 Rev. 4 SA-4 (9) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1578 – Förvärvsprocess | Funktioner/portar/protokoll/Tjänster som används | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Användning av godkända Piv-produkter
ID: NIST SP 800-53 Rev. 4 SA-4 (10) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1579 – Förvärvsprocess | Användning av godkända Piv-produkter | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Dokumentation om informationssystem
ID: NIST SP 800-53 Rev. 4 SA-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentation om Microsoft Managed Control 1580 – Information System | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Dokumentation om Microsoft Managed Control 1581 – InformationSsystem | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Dokumentation om Microsoft Managed Control 1582 – InformationSsystem | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Dokumentation om Microsoft Managed Control 1583 – InformationSsystem | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Dokumentation om Microsoft Managed Control 1584 – InformationSsystem | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Principer för säkerhetsteknik
ID: NIST SP 800-53 Rev. 4 SA-8 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 – Principer för säkerhetsteknik | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Tjänster för externt informationssystem
ID: NIST SP 800-53 Rev. 4 SA-9 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 – Externa informationssystemtjänster | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1587 – Externa informationssystemtjänster | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1588 – Externa informationssystemtjänster | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Riskbedömningar/organisations- Godkännanden
ID: NIST SP 800-53 Rev. 4 SA-9 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1589 – Externa informationssystemtjänster | Riskbedömningar/organisations- Godkännanden | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1590 – Externa informationssystemtjänster | Riskbedömningar/organisations- Godkännanden | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Identifiering av funktioner/portar/protokoll/tjänster
ID: NIST SP 800-53 Rev. 4 SA-9 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1591 – Externa informationssystemtjänster | Identifiering av funktioner/portar/protokoll... | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Konsekventa intressen för konsumenter och leverantörer
ID: NIST SP 800-53 Rev. 4 SA-9 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1592 – Externa informationssystemtjänster | Konsekventa intressen för konsumenter och leverantörer | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Bearbetning, lagring och tjänstplats
ID: NIST SP 800-53 Rev. 4 SA-9 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1593 – Externa informationssystemtjänster | Bearbetning, lagring och tjänstplats | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Konfigurationshantering för utvecklare
ID: NIST SP 800-53 Rev. 4 SA-10 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 – Konfigurationshantering för utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1595 – Konfigurationshantering för utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1596 – Konfigurationshantering för utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1597 – Konfigurationshantering för utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1598 – Konfigurationshantering för utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Integritetsverifiering av programvara/inbyggd programvara
ID: NIST SP 800-53 Rev. 4 SA-10 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1599 – Konfigurationshantering för utvecklare | Integritetsverifiering av programvara/inbyggd programvara | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Säkerhetstestning och utvärdering för utvecklare
ID: NIST SP 800-53 Rev. 4 SA-11 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 – Säkerhetstestning och utvärdering av utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1601 – Säkerhetstestning och utvärdering av utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1602 – Säkerhetstestning och utvärdering av utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1603 – Säkerhetstestning och utvärdering av utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1604 – Säkerhetstestning och utvärdering av utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Analys av statisk kod
ID: NIST SP 800-53 Rev. 4 SA-11 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1605 – Säkerhetstestning och utvärdering av utvecklare | Analys av statisk kod | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Hot- och sårbarhetsanalyser
ID: NIST SP 800-53 Rev. 4 SA-11 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1606 – Säkerhetstestning och utvärdering av utvecklare | Hot- och sårbarhetsanalyser | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Dynamisk kodanalys
ID: NIST SP 800-53 Rev. 4 SA-11 (8) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1607 – Säkerhetstestning och utvärdering av utvecklare | Dynamisk kodanalys | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Skydd för leveranskedja
ID: NIST SP 800-53 Rev. 4 SA-12 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1608 – Supply Chain Protection | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Utvecklingsprocess, standarder och verktyg
ID: NIST SP 800-53 Rev. 4 SA-15 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 – Utvecklingsprocess, standarder och verktyg | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1610 – utvecklingsprocess, standarder och verktyg | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Utbildning som tillhandahålls av utvecklare
ID: NIST SP 800-53 Rev. 4 SA-16 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 – Utbildning som tillhandahålls av utvecklare | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
Utvecklarens säkerhetsarkitektur och design
ID: NIST SP 800-53 Rev. 4 SA-17 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 – Utvecklarens säkerhetsarkitektur och design | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1613 – Utvecklarens säkerhetsarkitektur och design | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
| Microsoft Managed Control 1614 – Utvecklarens säkerhetsarkitektur och design | Microsoft implementerar den här kontrollen för system- och tjänsteförvärv | granska | 1.0.0 |
System- och kommunikationsskydd
Principer och procedurer för system- och kommunikationsskydd
ID: NIST SP 800-53 Rev. 4 SC-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 – Principer och procedurer för system- och kommunikationsskydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1616 – Principer och procedurer för system- och kommunikationsskydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Programpartitionering
ID: NIST SP 800-53 Rev. 4 SC-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 – Programpartitionering | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Isolering av säkerhetsfunktion
ID: NIST SP 800-53 Rev. 4 SC-3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1618 – Isolering av säkerhetsfunktioner | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 1.1.1 |
Information i delade resurser
ID: NIST SP 800-53 Rev. 4 SC-4 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 – information i delade resurser | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Överbelastningsskydd
ID: NIST SP 800-53 Rev. 4 SC-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection ska vara aktiverat | DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. | AuditIfNotExists, inaktiverad | 3.0.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1620 – Denial Of Service Protection | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
Resurstillgänglighet
ID: NIST SP 800-53 Rev. 4 SC-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 – Resurstillgänglighet | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Gränsskydd
ID: NIST SP 800-53 Rev. 4 SC-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.0.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 1.4.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1622 – Gränsskydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1623 – Gränsskydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1624 – Gränsskydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
Åtkomstpunkter
ID: NIST SP 800-53 Rev. 4 SC-7 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.0.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 1.4.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1625 – Gränsskydd | Åtkomstpunkter | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
Externa telekommunikationstjänster
ID: NIST SP 800-53 Rev. 4 SC-7 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1626 – Gränsskydd | Externa telekommunikationstjänster | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1627 – Gränsskydd | Externa telekommunikationstjänster | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1628 – Gränsskydd | Externa telekommunikationstjänster | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1629 – Gränsskydd | Externa telekommunikationstjänster | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1630 – Gränsskydd | Externa telekommunikationstjänster | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Neka som standard/Tillåt som undantag
ID: NIST SP 800-53 Rev. 4 SC-7 (5) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1631 – Gränsskydd | Neka som standard/Tillåt som undantag | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Förhindra delade tunnlar för fjärrenheter
ID: NIST SP 800-53 Rev. 4 SC-7 (7) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1632 – Gränsskydd | Förhindra delade tunnlar för fjärrenheter | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Dirigera trafik till autentiserade proxyservrar
ID: NIST SP 800-53 Rev. 4 SC-7 (8) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1633 – Gränsskydd | Dirigera trafik till autentiserade proxyservrar | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Förhindra obehörig exfiltrering
ID: NIST SP 800-53 Rev. 4 SC-7 (10) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1634 – Gränsskydd | Förhindra obehörig exfiltrering | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Värdbaserat skydd
ID: NIST SP 800-53 Rev. 4 SC-7 (12) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1635 – Gränsskydd | Värdbaserat skydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Isolering av säkerhetsverktyg/mekanismer/stödkomponenter
ID: NIST SP 800-53 Rev. 4 SC-7 (13) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1636 – Gränsskydd | Isolering av säkerhetsverktyg/mekanismer/stödkomponenter | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Felsäker
ID: NIST SP 800-53 Rev. 4 SC-7 (18) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1637 – Gränsskydd | Felsäker | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Dynamisk isolering/uppdelning
ID: NIST SP 800-53 Rev. 4 SC-7 (20) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1638 – Gränsskydd | Dynamisk isolering/uppdelning | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Isolering av informationssystemkomponenter
ID: NIST SP 800-53 Rev. 4 SC-7 (21) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1639 – Gränsskydd | Isolering av informationssystemkomponenter | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Överföringssekretess och integritet
ID: NIST SP 800-53 Rev. 4 SC-8 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder | Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under den här överföringen. | Granska, neka, inaktiverad | 1.0.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Microsoft Managed Control 1640 – Sekretess och integritet för överföring | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 3.0.1 |
Kryptografiskt eller alternativt fysiskt skydd
ID: NIST SP 800-53 Rev. 4 SC-8 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder | Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under den här överföringen. | Granska, neka, inaktiverad | 1.0.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Microsoft Managed Control 1641 – Sekretess och integritet för överföring | Kryptografiskt eller alternativt fysiskt skydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 3.0.1 |
Koppla från nätverk
ID: NIST SP 800-53 Rev. 4 SC-10 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1642 – Koppla från nätverk | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Etablering och hantering av kryptografisk nyckel
ID: NIST SP 800-53 Rev. 4 SC-12 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: IoT Hub-enhetsetableringstjänstdata ska krypteras med hjälp av kundhanterade nycklar (CMK) | Använd kundhanterade nycklar för att hantera krypteringen i resten av IoT Hub-enhetsetableringstjänsten. Data krypteras automatiskt i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Läs mer om CMK-kryptering på https://aka.ms/dps/CMK. | Granska, neka, inaktiverad | 1.0.0-preview |
| Azure Automation-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure Automation-konton. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/automation-cmk. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Batch-kontot bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar för att hantera krypteringen i resten av batchkontots data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/Batch-CMK. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Container Instance-containergruppen bör använda kundhanterad nyckel för kryptering | Skydda dina containrar med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granska, inaktiverad, Neka | 1.0.0 |
| Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Data Box-jobb bör använda en kundhanterad nyckel för att kryptera lösenordet för enhetens upplåsning | Använd en kundhanterad nyckel för att styra krypteringen av enhetens upplåsningslösenord för Azure Data Box. Kundhanterade nycklar hjälper också till att hantera åtkomsten till enhetens upplåsningslösenord av Data Box-tjänsten för att förbereda enheten och kopiera data på ett automatiserat sätt. Data på själva enheten är redan krypterade i vila med Advanced Encryption Standard 256-bitarskryptering, och lösenordet för enhetens upplåsning krypteras som standard med en Microsoft-hanterad nyckel. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Explorer-kryptering i vila bör använda en kundhanterad nyckel | Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i ditt Azure Data Explorer-kluster får du ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav och kräver ett Key Vault för att hantera nycklarna. | Granska, neka, inaktiverad | 1.0.0 |
| Azure-datafabriker ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Data Factory. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/adf-cmk. | Granska, neka, inaktiverad | 1.0.1 |
| Azure HDInsight-kluster bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure HDInsight-kluster. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/hdi.cmk. | Granska, neka, inaktiverad | 1.0.1 |
| Azure HDInsight-kluster bör använda kryptering på värden för att kryptera vilande data | Genom att aktivera kryptering på värden kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När du aktiverar kryptering på värden krypteras data som lagras på den virtuella datorvärden i vila och flöden krypteras till lagringstjänsten. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.0.3 |
| Azure Monitor-loggkluster ska krypteras med kundhanterad nyckel | Skapa Azure Monitor-loggkluster med kundhanterad nyckelkryptering. Loggdata krypteras som standard med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kundhanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Stream Analytics-jobb bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar när du på ett säkert sätt vill lagra metadata och privata datatillgångar för dina Stream Analytics-jobb i ditt lagringskonto. Detta ger dig total kontroll över hur dina Stream Analytics-data krypteras. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Synapse-arbetsytor bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att styra krypteringen i resten av de data som lagras på Azure Synapse-arbetsytor. Kundhanterade nycklar levererar dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardkryptering med tjänsthanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Bot Service ska krypteras med en kundhanterad nyckel | Azure Bot Service krypterar automatiskt din resurs för att skydda dina data och uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Som standard används Microsoft-hanterade krypteringsnycklar. Om du vill ha större flexibilitet när det gäller att hantera nycklar eller kontrollera åtkomsten till din prenumeration väljer du kundhanterade nycklar, även kallat BYOK (Bring Your Own Key). Läs mer om Azure Bot Service-kryptering: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel | Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data som lagras i Cognitive Services krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om kundhanterade nycklar på https://go.microsoft.com/fwlink/?linkid=2121321. | Granska, neka, inaktiverad | 2.1.0 |
| Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
| Event Hub-namnområden bör använda en kundhanterad nyckel för kryptering | Azure Event Hubs stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Event Hub använder för att kryptera data i ditt namnområde. Observera att Event Hub endast stöder kryptering med kundhanterade nycklar för namnområden i dedikerade kluster. | Granskning, inaktiverad | 1.0.0 |
| Logic Apps Integration Service Environment ska krypteras med kundhanterade nycklar | Distribuera till Integration Service Environment för att hantera kryptering i resten av Logic Apps-data med hjälp av kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | Granska, neka, inaktiverad | 1.0.0 |
| Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption. | Granska, neka, inaktiverad | 1.0.0 |
| Microsoft Managed Control 1643 – Etablering och hantering av kryptografiska nycklar | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet på dina hanterade diskar. Som standard krypteras data i vila med plattformshanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/disks-cmk. | Granska, neka, inaktiverad | 3.0.0 |
| Sparade frågor i Azure Monitor ska sparas i kundens lagringskonto för loggkryptering | Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med lagringskontokryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queriesfinns i . | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Service Bus Premium-namnområden bör använda en kundhanterad nyckel för kryptering | Azure Service Bus stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Service Bus använder för att kryptera data i ditt namnområde. Observera att Service Bus endast stöder kryptering med kundhanterade nycklar för premiumnamnområden. | Granskning, inaktiverad | 1.0.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
| Krypteringsomfång för lagringskonto bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av lagringskontots krypteringsomfång. Med kundhanterade nycklar kan data krypteras med en Nyckelvalvsnyckel i Azure som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om krypteringsomfång för lagringskonton på https://aka.ms/encryption-scopes-overview. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
Tillgänglighet
ID: NIST SP 800-53 Rev. 4 SC-12 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1644 – Kryptografisk nyckeletablering och hantering | Tillgänglighet | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Symmetriska nycklar
ID: NIST SP 800-53 Rev. 4 SC-12 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1645 – Etablering och hantering av kryptografiska nycklar | Symmetriska nycklar | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Asymmetriska nycklar
ID: NIST SP 800-53 Rev. 4 SC-12 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1646 – Etablering och hantering av kryptografiska nycklar | Asymmetriska nycklar | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Kryptografiskt skydd
ID: NIST SP 800-53 Rev. 4 SC-13 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1647 – Användning av kryptografi | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Enheter för samarbetsbaserad databehandling
ID: NIST SP 800-53 Rev. 4 SC-15 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 – Collaborative Computing-enheter | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1649 – Collaborative Computing-enheter | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Certifikat för offentlig nyckelinfrastruktur
ID: NIST SP 800-53 Rev. 4 SC-17 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1650 – Certifikat för offentlig nyckelinfrastruktur | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Mobilkod
ID: NIST SP 800-53 Rev. 4 SC-18 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1651 – Mobilkod | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1652 – Mobilkod | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1653 – Mobilkod | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Voice Over Internet Protocol
ID: NIST SP 800-53 Rev. 4 SC-19 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1654 – Voice Over Internet Protocol | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1655 – Voice Over Internet Protocol | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Säker namn/adressmatchningstjänst (auktoritativ källa)
ID: NIST SP 800-53 Rev. 4 SC-20 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 – Säker namn/adressmatchningstjänst (auktoritativ källa) | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1657 – Säker namn/adressmatchningstjänst (auktoritativ källa) | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Secure Name/Address Resolution Service (Rekursiv eller Cachelagring Resolver)
ID: NIST SP 800-53 Rev. 4 SC-21 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 – Secure Name/Address Resolution Service (Rekursiv eller Cachelagring Resolver) | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Arkitektur och etablering för namn/adressmatchningstjänst
ID: NIST SP 800-53 Rev. 4 SC-22 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 – Arkitektur och etablering för namn/adressmatchningstjänst | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Sessionsautenticitet
ID: NIST SP 800-53 Rev. 4 SC-23 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 – Sessionsautenticitet | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Ogiltigförklara sessionsidentifierare vid utloggning
ID: NIST SP 800-53 Rev. 4 SC-23 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1661 – Sessionsautenticitet | Ogiltigförklara sessionsidentifierare vid utloggning | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Fel i känt tillstånd
ID: NIST SP 800-53 Rev. 4 SC-24 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1662 – Misslyckas i känt tillstånd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
Skydd av vilande information
ID: NIST SP 800-53 Rev. 4 SC-28 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-miljön ska ha intern kryptering aktiverat | Om internalEncryption anges till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Granskning, inaktiverad | 1.0.1 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Monitor Logs-kluster ska skapas med infrastrukturkryptering aktiverat (dubbel kryptering) | Använd ett dedikeradt Azure Monitor-kluster för att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar. Det här alternativet är aktiverat som standard när det stöds i regionen. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Stack Edge-enheter bör använda dubbelkryptering | För att skydda vilande data på enheten kontrollerar du att de är dubbelkrypterade, åtkomsten till data kontrolleras och när enheten har inaktiverats raderas data på ett säkert sätt från datadiskarna. Dubbel kryptering är användningen av två krypteringslager: BitLocker XTS-AES 256-bitars kryptering på datavolymerna och inbyggd kryptering av hårddiskarna. Läs mer i dokumentationen för säkerhetsöversikten för den specifika Stack Edge-enheten. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Microsoft Managed Control 1663 – Skydd av vilande information | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Kryptografiskt skydd
ID: NIST SP 800-53 Rev. 4 SC-28 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-miljön ska ha intern kryptering aktiverat | Om internalEncryption anges till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Granskning, inaktiverad | 1.0.1 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Monitor Logs-kluster ska skapas med infrastrukturkryptering aktiverat (dubbel kryptering) | Använd ett dedikeradt Azure Monitor-kluster för att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar. Det här alternativet är aktiverat som standard när det stöds i regionen. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Stack Edge-enheter bör använda dubbelkryptering | För att skydda vilande data på enheten kontrollerar du att de är dubbelkrypterade, åtkomsten till data kontrolleras och när enheten har inaktiverats raderas data på ett säkert sätt från datadiskarna. Dubbel kryptering är användningen av två krypteringslager: BitLocker XTS-AES 256-bitars kryptering på datavolymerna och inbyggd kryptering av hårddiskarna. Läs mer i dokumentationen för säkerhetsöversikten för den specifika Stack Edge-enheten. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Microsoft Managed Control 1664 – Skydd av information i vila | Kryptografiskt skydd | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Processisolering
ID: NIST SP 800-53 Rev. 4 SC-39 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1665 – processisolering | Microsoft implementerar den här system- och kommunikationsskyddskontrollen | granska | 1.0.0 |
System- och informationsintegritet
Policy och procedurer för system- och informationsintegritet
ID: NIST SP 800-53 Rev. 4 SI-1 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 – Policy och procedurer för system- och informationsintegritet | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1667 – Policy och procedurer för system- och informationsintegritet | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Felreparation
ID: NIST SP 800-53 Rev. 4 SI-2 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1668 – Felreparation | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1669 – Felreparation | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1670 – Felreparation | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1671 – Felreparation | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Systemuppdateringar på vm-skalningsuppsättningar ska installeras | Granska om det finns några saknade systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningar för virtuella Windows- och Linux-datorer är säkra. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
Central hantering
ID: NIST SP 800-53 Rev. 4 SI-2 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1672 – Felreparation | Central hantering | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Status för automatisk felreparation
ID: NIST SP 800-53 Rev. 4 SI-2 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1673 – Felreparation | Status för automatisk felreparation | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Tid för att åtgärda fel/riktmärken för korrigerande åtgärder
ID: NIST SP 800-53 Rev. 4 SI-2 (3) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1674 – Felreparation | Tid för att åtgärda fel/riktmärken för korrigerande åtgärder | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1675 – Felreparation | Tid för att åtgärda fel/riktmärken för korrigerande åtgärder | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Borttagning av tidigare versioner av programvara/inbyggd programvara
ID: NIST SP 800-53 Rev. 4 SI-2 (6) Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
Skydd mot skadlig kod
ID: NIST SP 800-53 Rev. 4 SI-3 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1676 – Skydd mot skadlig kod | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1677 – Skydd mot skadlig kod | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1678 – Skydd mot skadlig kod | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1679 – Skydd mot skadlig kod | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 1.1.1 |
Central hantering
ID: NIST SP 800-53 Rev. 4 SI-3 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Managed Control 1680 – Skydd mot skadlig kod | Central hantering | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 1.1.1 |
Automatiska uppdateringar
ID: NIST SP 800-53 Rev. 4 SI-3 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1681 – Skydd mot skadlig kod | Automatisk Uppdateringar | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Icke-signaturbaserad identifiering
ID: NIST SP 800-53 Rev. 4 SI-3 (7) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1682 – Skydd mot skadlig kod | Icke-signaturbaserad identifiering | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Övervakning av informationssystem
ID: NIST SP 800-53 Rev. 4 SI-4 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 4.0.1-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning | Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft Managed Control 1683 – Övervakning av informationssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1684 – Övervakning av informationssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1685 – Övervakning av informationssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1686 – Övervakning av informationssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1687 – Övervakning av informationssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1688 – Övervakning av informationssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1689 – Övervakning av informationssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Systemomfattande intrångsidentifieringssystem
ID: NIST SP 800-53 Rev. 4 SI-4 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1690 – Övervakning av informationssystem | Systemomfattande intrångsidentifieringssystem | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Automatiserade verktyg för realtidsanalys
ID: NIST SP 800-53 Rev. 4 SI-4 (2) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1691 – Övervakning av informationssystem | Automatiserade verktyg för realtidsanalys | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Inkommande och utgående kommunikationstrafik
ID: NIST SP 800-53 Rev. 4 SI-4 (4) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1692 – Övervakning av informationssystem | Inkommande och utgående kommunikationstrafik | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Systemgenererade aviseringar
ID: NIST SP 800-53 Rev. 4 SI-4 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1693 – Övervakning av informationssystem | Systemgenererade aviseringar | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Analysera kommunikationstrafikavvikelser
ID: NIST SP 800-53 Rev. 4 SI-4 (11) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1694 – Övervakning av informationssystem | Analysera kommunikationstrafikavvikelser | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Automatiserade aviseringar
ID: NIST SP 800-53 Rev. 4 SI-4 (12) Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Identifiering av trådlösa intrång
ID: NIST SP 800-53 Rev. 4 SI-4 (14) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1695 – Övervakning av informationssystem | Identifiering av trådlösa intrång | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Korrelera övervakningsinformation
ID: NIST SP 800-53 Rev. 4 SI-4 (16) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1696 – Övervakning av informationssystem | Korrelera övervakningsinformation | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Analysera trafik/hemlig exfiltrering
ID: NIST SP 800-53 Rev. 4 SI-4 (18) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1697 – Övervakning av informationssystem | Analysera trafik/hemlig exfiltrering | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Individer som utgör större risk
ID: NIST SP 800-53 Rev. 4 SI-4 (19) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1698 – Övervakning av informationssystem | Individer som utgör större risk | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Privilegierad användare
ID: NIST SP 800-53 Rev. 4 SI-4 (20) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1699 – Övervakning av informationssystem | Privilegierade användare | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Obehöriga nätverkstjänster
ID: NIST SP 800-53 Rev. 4 SI-4 (22) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1700 – Övervakning av informationssystem | Obehöriga nätverkstjänster | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Värdbaserade enheter
ID: NIST SP 800-53 Rev. 4 SI-4 (23) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1701 – Övervakning av informationssystem | Värdbaserade enheter | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Indikatorer för kompromiss
ID: NIST SP 800-53 Rev. 4 SI-4 (24) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1702 – Övervakning av informationssystem | Indikatorer för kompromiss | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Säkerhetsaviseringar, rekommendationer och direktiv
ID: NIST SP 800-53 Rev. 4 SI-5 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 – Säkerhetsaviseringar och rekommendationer | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1704 – Säkerhetsaviseringar och rekommendationer | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1705 – Säkerhetsaviseringar och rekommendationer | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1706 – Säkerhetsaviseringar och rekommendationer | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Automatiserade aviseringar och rekommendationer
ID: NIST SP 800-53 Rev. 4 SI-5 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 – Säkerhetsaviseringar och rekommendationer | Automatiserade aviseringar och rekommendationer | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Verifiering av säkerhetsfunktion
ID: NIST SP 800-53 Rev. 4 SI-6 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1708 – Verifiering av säkerhetsfunktioner | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1709 – Verifiering av säkerhetsfunktioner | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1710 – Verifiering av säkerhetsfunktioner | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1711 – Verifiering av säkerhetsfunktioner | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Programvara, inbyggd programvara och informationsintegritet
ID: NIST SP 800-53 Rev. 4 SI-7 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 – Programvara och informationsintegritet | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Integritetskontroller
ID: NIST SP 800-53 Rev. 4 SI-7 (1) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 – Programvara och informationsintegritet | Integritetskontroller | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Automatiserade meddelanden om integritetsöverträdelser
ID: NIST SP 800-53 Rev. 4 SI-7 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 – Programvara och informationsintegritet | Automatiserade meddelanden om integritetsöverträdelser | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Automatiserat svar på integritetsöverträdelser
ID: NIST SP 800-53 Rev. 4 SI-7 (5) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 – Programvara och informationsintegritet | Automatiserat svar på integritetsöverträdelser | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Integrering av identifiering och svar
ID: NIST SP 800-53 Rev. 4 SI-7 (7) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 – Programvara och informationsintegritet | Integrering av identifiering och svar | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Binär kod eller körbar datorkod
ID: NIST SP 800-53 Rev. 4 SI-7 (14) Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1717 – Programvara och informationsintegritet | Binär kod eller körbar datorkod | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1718 – Programvara och informationsintegritet | Binär kod eller körbar datorkod | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Skräppostskydd
ID: NIST SP 800-53 Rev. 4 SI-8 Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 – Skräppostskydd | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1720 – Skräppostskydd | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Central hantering
ID: NIST SP 800-53 Rev. 4 SI-8 (1) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1721 – Skräppostskydd | Central hantering | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Automatiska uppdateringar
ID: NIST SP 800-53 Rev. 4 SI-8 (2) Ägarskap: Microsoft
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1722 – Skräppostskydd | Automatisk Uppdateringar | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Validering av informationsindata
ID: NIST SP 800-53 Rev. 4 SI-10 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 – Validering av informationsindata | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Felhantering
ID: NIST SP 800-53 Rev. 4 SI-11 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 – Felhantering | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Microsoft Managed Control 1725 – Felhantering | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Informationshantering och kvarhållning
ID: NIST SP 800-53 Rev. 4 SI-12 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1726 – Hantering och kvarhållning av informationsutdata | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
Minnesskydd
ID: NIST SP 800-53 Rev. 4 SI-16 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Managed Control 1727 – Minnesskydd | Microsoft implementerar den här system- och informationsintegritetskontrollen | granska | 1.0.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 1.1.1 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.