Information om det inbyggda initiativet NIST SP 800-53 Rev. 5 Regulatory Compliance

Följande artikel beskriver hur den inbyggda initiativdefinitionen Azure Policy Regelefterlevnad mappar till efterlevnadsdomäner och kontroller i NIST SP 800-53 Rev. 5. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 5. Information om ägarskap finns i Azure Policy principdefinition och Delat ansvar i molnet.

Följande mappningar gäller kontrollerna NIST SP 800-53 Rev. 5 . Använd navigeringen till höger för att gå direkt till en specifik efterlevnadsdomän. Många av kontrollerna implementeras med en Azure Policy initiativdefinition. Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan reda på och välj den inbyggda initiativdefinitionen NIST SP 800-53 Rev. 5 Regulatory Compliance.

Viktigt

Varje kontroll nedan är associerad med en eller flera Azure Policy definitioner. Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Kompatibel i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav för en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av någon Azure Policy definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy definitioner för den här efterlevnadsstandarden kan ändras med tiden. Information om hur du visar ändringshistoriken finns i GitHub Commit History (GitHub-incheckningshistorik).

Åtkomstkontroll

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 AC-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla principer och procedurer för åtkomstkontroll CMA_0144 – Utveckla principer och procedurer för åtkomstkontroll Manuell, inaktiverad 1.0.0
Tillämpa obligatoriska och godtyckliga principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och godtyckliga principer för åtkomstkontroll Manuell, inaktiverad 1.0.0
Styra principer och procedurer CMA_0292 – Styra principer och procedurer Manuell, inaktiverad 1.0.0
Granska principer och procedurer för åtkomstkontroll CMA_0457 – Granska principer och procedurer för åtkomstkontroll Manuell, inaktiverad 1.0.0

Kontohantering

ID: NIST SP 800-53 Rev. 5 AC-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du utser upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
App Service appar ska använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Tilldela kontoansvariga CMA_0015 – Tilldela kontoansvariga Manuell, inaktiverad 1.0.0
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.0.0
Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade Att inaktivera lokala autentiseringsmetoder förbättrar säkerheten genom att se till att Cognitive Services-konton kräver Azure Active Directory-identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth. Granska, neka, inaktiverad 1.0.0
Definiera och framtvinga villkor för delade konton och gruppkonton CMA_0117 – Definiera och framtvinga villkor för delade konton och gruppkonton Manuell, inaktiverad 1.0.0
Definiera kontotyper för informationssystem CMA_0121 – Definiera kontotyper för informationssystem Manuell, inaktiverad 1.0.0
Inaktuella konton bör tas bort från din prenumeration Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Behörigheter för dokumentåtkomst CMA_0186 – Behörigheter för dokumentåtkomst Manuell, inaktiverad 1.0.0
Upprätta villkor för rollmedlemskap CMA_0269 – Upprätta villkor för rollmedlemskap Manuell, inaktiverad 1.0.0
Externa konton med ägarbehörigheter bör tas bort från din prenumeration Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 3.0.0
Externa konton med läsbehörighet bör tas bort från din prenumeration Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 3.0.0
Externa konton med skrivbehörighet bör tas bort från din prenumeration Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Övervaka kontoaktivitet CMA_0377 – Övervaka kontoaktivitet Manuell, inaktiverad 1.0.0
Meddela kontoansvariga om kundkontrollerade konton CMA_C1009 – Meddela kontoansvariga om kundkontrollerade konton Manuell, inaktiverad 1.0.0
Återutgivningsautentiserare för ändrade grupper och konton CMA_0426 – Återutentisera autentiserare för ändrade grupper och konton Manuell, inaktiverad 1.0.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.0.0
Begränsa åtkomsten till privilegierade konton CMA_0446 – Begränsa åtkomsten till privilegierade konton Manuell, inaktiverad 1.0.0
Granska kontoetableringsloggar CMA_0460 – Granska kontoetableringsloggar Manuell, inaktiverad 1.0.0
Granska användarkonton CMA_0480 – Granska användarkonton Manuell, inaktiverad 1.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Automatiserad systemkontohantering

ID: NIST SP 800-53 Rev. 5 AC-2 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
Automatisera kontohantering CMA_0026 – Automatisera kontohantering Manuell, inaktiverad 1.0.0
Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade Att inaktivera lokala autentiseringsmetoder förbättrar säkerheten genom att se till att Cognitive Services-konton kräver Azure Active Directory-identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth. Granska, neka, inaktiverad 1.0.0
Hantera system- och administratörskonton CMA_0368 – Hantera system- och administratörskonton Manuell, inaktiverad 1.0.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.0.0
Meddela när kontot inte behövs CMA_0383 – Meddela när kontot inte behövs Manuell, inaktiverad 1.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Inaktivera konton

ID: NIST SP 800-53 Rev. 5 AC-2 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Inaktivera autentiserare vid avslutning CMA_0169 – Inaktivera autentiserare vid avslutning Manuell, inaktiverad 1.0.0
Återkalla privilegierade roller efter behov CMA_0483 – Återkalla privilegierade roller efter behov Manuell, inaktiverad 1.0.0

Automatiserade granskningsåtgärder

ID: NIST SP 800-53 Rev. 5 AC-2 (4) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.0.0
Automatisera kontohantering CMA_0026 – Automatisera kontohantering Manuell, inaktiverad 1.0.0
Hantera system- och administratörskonton CMA_0368 – Hantera system- och administratörskonton Manuell, inaktiverad 1.0.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.0.0
Meddela när kontot inte behövs CMA_0383 – Meddela när kontot inte behövs Manuell, inaktiverad 1.0.0

Inaktivitetsutloggning

ID: NIST SP 800-53 Rev. 5 AC-2 (5) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera och framtvinga inaktivitetsloggprincip CMA_C1017 – Definiera och framtvinga inaktivitetsloggprincip Manuell, inaktiverad 1.0.0

Privilegierade användarkonton

ID: NIST SP 800-53 Rev. 5 AC-2 (7) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.0.0
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade Att inaktivera lokala autentiseringsmetoder förbättrar säkerheten genom att se till att Cognitive Services-konton kräver Azure Active Directory-identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth. Granska, neka, inaktiverad 1.0.0
Övervaka kontoaktivitet CMA_0377 – Övervaka kontoaktivitet Manuell, inaktiverad 1.0.0
Övervaka privilegierad rolltilldelning CMA_0378 – Övervaka privilegierad rolltilldelning Manuell, inaktiverad 1.0.0
Begränsa åtkomsten till privilegierade konton CMA_0446 – Begränsa åtkomsten till privilegierade konton Manuell, inaktiverad 1.0.0
Återkalla privilegierade roller efter behov CMA_0483 – Återkalla privilegierade roller efter behov Manuell, inaktiverad 1.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0
Använda privileged identity management CMA_0533 – Använda privilegierad identitetshantering Manuell, inaktiverad 1.0.0

Begränsningar för användning av delade konton och gruppkonton

ID: NIST SP 800-53 Rev. 5 AC-2 (9) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera och framtvinga villkor för delade konton och gruppkonton CMA_0117 – Definiera och framtvinga villkor för delade konton och gruppkonton Manuell, inaktiverad 1.0.0

Användningsvillkor

ID: NIST SP 800-53 Rev. 5 AC-2 (11) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Framtvinga lämplig användning av alla konton CMA_C1023 – Framtvinga lämplig användning av alla konton Manuell, inaktiverad 1.0.0

Kontoövervakning för atypisk användning

ID: NIST SP 800-53 Rev. 5 AC-2 (12) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molntillägget installerat Microsoft Defender för molntillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för vidare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Inaktiverad 6.0.0-preview
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalvskonton. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Eventuell JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, Inaktiverad 1.0.0
Övervaka kontoaktivitet CMA_0377 – Övervaka kontoaktivitet Manuell, inaktiverad 1.0.0
Rapportera atypiskt beteende för användarkonton CMA_C1025 – Rapportera atypiskt beteende för användarkonton Manuell, inaktiverad 1.0.0

Inaktivera konton för högriskpersoner

ID: NIST SP 800-53 Rev. 5 AC-2 (13) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Inaktivera användarkonton som utgör en betydande risk CMA_C1026 – Inaktivera användarkonton som utgör en betydande risk Manuell, inaktiverad 1.0.0

Åtkomsttillämpning

ID: NIST SP 800-53 Rev. 5 AC-3 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfigurationen men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfigurationen och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, Inaktiverad 1.0.0
App Service appar ska använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0
Granska Linux-datorer som har konton utan lösenord Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord AuditIfNotExists, Inaktiverad 3.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv tillhandahåller en krypterad anslutning gör användningen av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för autentisering till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Inaktiverad 3.0.0
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.0.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.0.0
Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Cognitive Services-konton kräver Azure Active Directory-identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth. Granska, neka, inaktiverad 1.0.0
Distribuera Linux-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 3.0.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.0.0
Framtvinga obligatoriska och godtyckliga principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och godtyckliga principer för åtkomstkontroll Manuell, inaktiverad 1.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0
MFA ska vara aktiverat för konton med skrivbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.1
MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.0.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0
Lagringskonton ska migreras till nya Azure-Resource Manager resurser Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhet Management Granska, neka, inaktiverad 1.0.0
Virtuella datorer ska migreras till nya Azure-Resource Manager resurser Använd nya Azure-Resource Manager för dina virtuella datorer för att ge säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhet Management Granska, neka, inaktiverad 1.0.0

Rollbaserad åtkomstkontroll

ID: NIST SP 800-53 Rev. 5 AC-3 (7) Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2

Tvingande informationsflöde

ID: NIST SP 800-53 Rev. 5 AC-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte är skyddade med nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, Inaktiverad 3.0.0-förhandsversion
[Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault Privat länk är ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger ett djupgående skydd mot dataexfiltrering. Granska, neka, inaktiverad 1.1.0-förhandsversion
[Förhandsversion]: Offentlig åtkomst för lagringskontot bör inte tillåtas Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data, men det kan innebära säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto såvida inte ditt scenario kräver det. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-förhandsversion
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgruppen som minskar den potentiella attackytan AuditIfNotExists, Inaktiverad 3.0.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, Inaktiverad 3.0.0
API Management tjänster ska använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera din API Management-tjänst i ett routningsbart nätverk som du inte kan dirigera internet till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras så att de är tillgängliga antingen från Internet eller endast i det virtuella nätverket. Granskning, inaktiverad 1.0.1
App Configuration bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Inaktiverad 1.0.2
App Service appar bör inte ha CORS konfigurerat så att alla resurser får åtkomst till dina appar Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, Inaktiverad 2.0.0
Auktoriserade IP-intervall ska definieras på Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1
Azure API för FHIR bör använda privat länk Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. Granskning, inaktiverad 1.0.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Inaktiverad 1.0.0
Azure Cognitive Search-tjänsten ska använda en SKU som stöder privat länk Med SKU:er som stöds av Azure Cognitive Search kan du Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster bör inaktivera åtkomst till offentliga nätverk Om du inaktiverar åtkomst till offentliga nätverk förbättras säkerheten genom att säkerställa att din Azure Cognitive Search-tjänst inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.0
Azure Cosmos DB-konton bör ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel som definierats med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.0.0
Azure Data Factory bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Inaktiverad 1.0.0
Azure Event Grid domäner ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Grid-domänen i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid ämnen bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till event grid-ämnet i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk Genom att skapa en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. När du skapar en privat slutpunkt inaktiveras inte den offentliga slutpunkten. AuditIfNotExists, Inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan sedan konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 3.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granska, neka, inaktiverad 1.1.0
Azure Service Bus namnområden ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse arbetsytor ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse arbetsyta minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web PubSub Service bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. Granskning, inaktiverad 1.0.0
Cognitive Services-konton bör inaktivera åtkomst till offentligt nätverk Inaktivering av offentlig nätverksåtkomst förbättrar säkerheten genom att se till att Cognitive Services-kontot inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för Cognitive Services-kontot. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2129800. Granska, neka, inaktiverad 3.0.0
Cognitive Services-konton bör begränsa nätverksåtkomsten Nätverksåtkomsten till Cognitive Services-konton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Cognitive Services-kontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet. Granska, neka, inaktiverad 3.0.0
Cognitive Services bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregistrets nätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
Kontrollera informationsflödet CMA_0079 – Kontrollera informationsflödet Manuell, inaktiverad 1.0.0
CosmosDB-konton bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Inaktiverad 1.0.0
Använda flödeskontrollmekanismer för krypterad information CMA_0211 – Använda mekanismer för flödeskontroll av krypterad information Manuell, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer mot potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
IoT Hub instanser av enhetsetableringstjänsten bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub enhetsetableringstjänst minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, Inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Eventuell JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker tvinga fram autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, Inaktiverad 3.0.0
Icke-internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Åtkomst till offentligt nätverk på Azure SQL-databas bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att se till att din Azure SQL-databas endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Åtkomst till offentligt nätverk bör inaktiveras för MariaDB-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomsten till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en prioriterad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Mallar för VM Image Builder bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina VM Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Granska, inaktiverad, neka 1.1.0

Dynamisk informationsflödeskontroll

ID: NIST SP 800-53 Rev. 5 AC-4 (3) Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och ger rekommendationer om regler för nätverkssäkerhetsgrupper som minskar risken för angrepp AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0

Säkerhets- och sekretesspolicyfilter

ID: NIST SP 800-53 Rev. 5 AC-4 (8) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Informationsflödeskontroll med hjälp av säkerhetsprincipfilter CMA_C1029 – Informationsflödeskontroll med hjälp av säkerhetsprincipfilter Manuell, inaktiverad 1.0.0

Fysisk eller logisk separation av informationsflöden

ID: NIST SP 800-53 Rev. 5 AC-4 (21) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera informationsflöde CMA_0079 – Kontrollera informationsflöde Manuell, inaktiverad 1.0.0
Upprätta konfigurationsstandarder för brandvägg och router CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router Manuell, inaktiverad 1.0.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö Manuell, inaktiverad 1.0.0
Identifiera och hantera informationsutbyten nedströms CMA_0298 – Identifiera och hantera informationsutbyten nedströms Manuell, inaktiverad 1.0.0

Ansvarsfördelning

ID: NIST SP 800-53 Rev. 5 AC-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera åtkomstauktoriseringar för att stödja uppdelning av uppgifter CMA_0116 – Definiera åtkomstauktoriseringar för att stödja ansvarsfördelning Manuell, inaktiverad 1.0.0
Dokumentera ansvarsfördelning CMA_0204 – Dokument om ansvarsfördelning Manuell, inaktiverad 1.0.0
Enskilda personers separata skyldigheter CMA_0492 - Enskilda personers separata uppgifter Manuell, inaktiverad 1.0.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att ha administratörsåtkomstredundans. AuditIfNotExists, inaktiverad 3.0.0

Lägsta behörighet

ID: NIST SP 800-53 Rev. 5 AC-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du utser upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.0.0
Använda åtkomst med lägsta behörighet CMA_0212 – Använda åtkomst med lägsta behörighet Manuell, inaktiverad 1.0.0

Auktorisera åtkomst till säkerhetsfunktioner

ID: NIST SP 800-53 Rev. 5 AC-6 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Ge åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.0.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.0.0
Tillämpa obligatoriska och godtyckliga principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och godtyckliga principer för åtkomstkontroll Manuell, inaktiverad 1.0.0

Privilegierade konton

ID: NIST SP 800-53 Rev. 5 AC-6 (5) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Begränsa åtkomsten till privilegierade konton CMA_0446 – Begränsa åtkomsten till privilegierade konton Manuell, inaktiverad 1.0.0

Granskning av användarbehörigheter

ID: NIST SP 800-53 Rev. 5 AC-6 (7) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du utser upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Tilldela om eller ta bort användarbehörigheter efter behov CMA_C1040 – Tilldela om eller ta bort användarbehörigheter efter behov Manuell, inaktiverad 1.0.0
Granska användarbehörigheter CMA_C1039 – Granska användarbehörigheter Manuell, inaktiverad 1.0.0

Behörighetsnivåer för kodkörning

ID: NIST SP 800-53 Rev. 5 AC-6 (8) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Framtvinga programkörningsprivilegier CMA_C1041 – Framtvinga behörigheter för körning av programvara Manuell, inaktiverad 1.0.0

Logganvändning av privilegierade funktioner

ID: NIST SP 800-53 Rev. 5 AC-6 (9) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.0.0
Utföra en fulltextanalys av loggade privilegierade kommandon CMA_0056 – Utföra en fulltextanalys av loggade privilegierade kommandon Manuell, inaktiverad 1.0.0
Övervaka privilegierad rolltilldelning CMA_0378 – Övervaka privilegierad rolltilldelning Manuell, inaktiverad 1.0.0
Begränsa åtkomsten till privilegierade konton CMA_0446 – Begränsa åtkomsten till privilegierade konton Manuell, inaktiverad 1.0.0
Återkalla privilegierade roller efter behov CMA_0483 – Återkalla privilegierade roller efter behov Manuell, inaktiverad 1.0.0
Använda privileged identity management CMA_0533 – Använda privileged identity management Manuell, inaktiverad 1.0.0

Misslyckade inloggningsförsök

ID: NIST SP 800-53 Rev. 5 AC-7 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Framtvinga en gräns för misslyckade inloggningsförsök i följd CMA_C1044 – Framtvinga en gräns för misslyckade inloggningsförsök i följd Manuell, inaktiverad 1.0.0

Samtidig sessionskontroll

ID: NIST SP 800-53 Rev. 5 AC-10 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera och framtvinga gränsen för samtidiga sessioner CMA_C1050 – Definiera och framtvinga gränsen för samtidiga sessioner Manuell, inaktiverad 1.0.0

Avslutning av session

ID: NIST SP 800-53 Rev. 5 AC-12 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Avsluta användarsession automatiskt CMA_C1054 – Avsluta användarsessionen automatiskt Manuell, inaktiverad 1.0.0

Användarinitierade utloggningar

ID: NIST SP 800-53 Rev. 5 AC-12 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Visa ett explicit utloggningsmeddelande CMA_C1056 – Visa ett explicit utloggningsmeddelande Manuell, inaktiverad 1.0.0
Ange utloggningsfunktionen CMA_C1055 – Ange utloggningsfunktionen Manuell, inaktiverad 1.0.0

Tillåtna åtgärder utan identifiering eller autentisering

ID: NIST SP 800-53 Rev. 5 AC-14 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Identifiera åtgärder som tillåts utan autentisering CMA_0295 – Identifiera åtgärder som tillåts utan autentisering Manuell, inaktiverad 1.0.0

Säkerhets- och sekretessattribut

ID: NIST SP 800-53 Rev. 5 AC-16 Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, Inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2

Fjärråtkomst

ID: NIST SP 800-53 Rev. 5 AC-17 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault Privat länk är ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger ett djupgående skydd mot dataexfiltrering. Granska, neka, inaktiverad 1.1.0-förhandsversion
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfigurationen men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfigurationen och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
App Configuration bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Inaktiverad 1.0.2
App Service appar ska ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service app. Fjärrfelsökning bör stängas av. AuditIfNotExists, Inaktiverad 2.0.0
Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord AuditIfNotExists, Inaktiverad 3.0.0
Auktorisera fjärråtkomst CMA_0024 – Auktorisera fjärråtkomst Manuell, inaktiverad 1.0.0
Azure API för FHIR bör använda privat länk Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. Granskning, inaktiverad 1.0.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Inaktiverad 1.0.0
Azure Cognitive Search-tjänsten ska använda en SKU som stöder privat länk Med SKU:er som stöds av Azure Cognitive Search kan du Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.0
Azure Data Factory bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid domäner ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid ämnen bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till event grid-ämnet i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda private link Genom att skapa en privat slutpunkt för den angivna storage sync service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Om du skapar en privat slutpunkt på egen hand inaktiveras inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granska, neka, inaktiverad 1.1.0
Azure Service Bus namnområden ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service resurs i stället för hela tjänsten minskar du riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Spring Cloud bör använda nätverksinmatning Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande ändamål: 1. Isolera Azure Spring Cloud från Internet. 2. Gör det möjligt för Azure Spring Cloud att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att kontrollera inkommande och utgående nätverkskommunikation för Azure Spring Cloud. Granska, inaktiverad, neka 1.1.0
Azure Synapse arbetsytor ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse arbetsyta minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web PubSub Service ska använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Din Azure Web PubSub-tjänst kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. Granskning, inaktiverad 1.0.0
Cognitive Services bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.0
Containerregister bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Distribuera Linux-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Linux-datorer Den här principen distribuerar linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla tilldelningar av Linux-gästkonfiguration och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 3.0.0
Distribuera Windows-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Tilldelningar av Windows-gästkonfiguration och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Diskåtkomstresurser bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Inaktiverad 1.0.0
Dokumentera mobilitetsutbildning CMA_0191 – Utbildning om dokumentmobilitet Manuell, inaktiverad 1.0.0
Dokumentera riktlinjer för fjärråtkomst CMA_0196 – Dokumentera riktlinjer för fjärråtkomst Manuell, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Inaktiverad 1.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning bör stängas av. AuditIfNotExists, Inaktiverad 2.0.0
Implementera kontroller för att skydda alternativa arbetswebbplatser CMA_0315 – Implementera kontroller för att skydda alternativa arbetswebbplatser Manuell, inaktiverad 1.0.0
IoT Hub instanser av enhetsetableringstjänsten bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub enhetsetableringstjänst minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Tillhandahålla sekretessutbildning CMA_0415 – Tillhandahålla sekretessutbildning Manuell, inaktiverad 1.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Inaktiverad 2.0.0
Vm Image Builder-mallar ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till dina VM Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Granska, inaktiverad, neka 1.1.0

Övervakning och kontroll

ID: NIST SP 800-53 Rev. 5 AC-17 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault Privat länk är ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger ett djupgående skydd mot dataexfiltrering. Granska, neka, inaktiverad 1.1.0-förhandsversion
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfigurationen men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
App Configuration bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
App Service appar ska ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service app. Fjärrfelsökning bör stängas av. AuditIfNotExists, inaktiverad 2.0.0
Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord AuditIfNotExists, inaktiverad 3.0.0
Azure API för FHIR bör använda privat länk Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan få säker åtkomst till resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. Granskning, inaktiverad 1.0.0
Azure Cache for Redis bör använda private link Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive Search-tjänsten ska använda en SKU som stöder privat länk Med SKU:er som stöds av Azure Cognitive Search kan du Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.0
Azure Data Factory bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid domäner ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid ämnen bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till event grid-ämnet i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda private link Genom att skapa en privat slutpunkt för den angivna storage sync service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Om du skapar en privat slutpunkt på egen hand inaktiveras inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granska, neka, inaktiverad 1.1.0
Azure Service Bus namnområden ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Spring Cloud bör använda nätverksinmatning Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Gör det möjligt för Azure Spring Cloud att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. Granska, inaktiverad, neka 1.1.0
Azure Synapse arbetsytor ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse arbetsyta minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web PubSub Service bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. Granskning, inaktiverad 1.0.0
Cognitive Services bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.0
Containerregister bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Distribuera Linux-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 3.0.0
Distribuera Windows-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Tilldelningar av Windows-gästkonfiguration och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Diskåtkomstresurser bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Inaktiverad 1.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning bör stängas av. AuditIfNotExists, Inaktiverad 2.0.0
IoT Hub instanser av enhetsetableringstjänsten bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub enhetsetableringstjänst minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.0.0
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomsten till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Mallar för VM Image Builder bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina VM Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Granska, inaktiverad, neka 1.1.0

Skydd av konfidentialitet och integritet med kryptering

ID: NIST SP 800-53 Rev. 5 AC-17 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Meddela användare om systeminloggning eller åtkomst CMA_0382 – Meddela användare om systeminloggning eller åtkomst Manuell, inaktiverad 1.0.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med hjälp av kryptering Manuell, inaktiverad 1.0.0

Hanterade Access Control-punkter

ID: NIST SP 800-53 Rev. 5 AC-17 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dirigera trafik via hanterade nätverksåtkomstpunkter CMA_0484 – Dirigera trafik via hanterade nätverksåtkomstpunkter Manuell, inaktiverad 1.0.0

Privilegierade kommandon och åtkomst

ID: NIST SP 800-53 Rev. 5 AC-17 (4) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Auktorisera fjärråtkomst CMA_0024 – Auktorisera fjärråtkomst Manuell, inaktiverad 1.0.0
Auktorisera fjärråtkomst till privilegierade kommandon CMA_C1064 – Auktorisera fjärråtkomst till privilegierade kommandon Manuell, inaktiverad 1.0.0
Dokumentera riktlinjer för fjärråtkomst CMA_0196 – Dokumentera riktlinjer för fjärråtkomst Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alternativa arbetsplatser CMA_0315 – Implementera kontroller för att skydda alternativa arbetswebbplatser Manuell, inaktiverad 1.0.0
Tillhandahålla sekretessutbildning CMA_0415 – Tillhandahålla sekretessutbildning Manuell, inaktiverad 1.0.0

Koppla från eller inaktivera åtkomst

ID: NIST SP 800-53 Rev. 5 AC-17 (9) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Ge möjlighet att koppla från eller inaktivera fjärråtkomst CMA_C1066 – Ge möjlighet att koppla från eller inaktivera fjärråtkomst Manuell, inaktiverad 1.0.0

Trådlös åtkomst

ID: NIST SP 800-53 Rev. 5 AC-18 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera och implementera riktlinjer för trådlös åtkomst CMA_0190 – Dokumentera och implementera riktlinjer för trådlös åtkomst Manuell, inaktiverad 1.0.0
Skydda trådlös åtkomst CMA_0411 – Skydda trådlös åtkomst Manuell, inaktiverad 1.0.0

Autentisering och kryptering

ID: NIST SP 800-53 Rev. 5 AC-18 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera och implementera riktlinjer för trådlös åtkomst CMA_0190 – Dokumentera och implementera riktlinjer för trådlös åtkomst Manuell, inaktiverad 1.0.0
Identifiera och autentisera nätverksenheter CMA_0296 – Identifiera och autentisera nätverksenheter Manuell, inaktiverad 1.0.0
Skydda trådlös åtkomst CMA_0411 – Skydda trådlös åtkomst Manuell, inaktiverad 1.0.0

Access Control för mobila enheter

ID: NIST SP 800-53 Rev. 5 AC-19 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera krav för mobila enheter CMA_0122 – Definiera krav för mobila enheter Manuell, inaktiverad 1.0.0

Fullständig enhets- eller containerbaserad kryptering

ID: NIST SP 800-53 Rev. 5 AC-19 (5) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera krav för mobila enheter CMA_0122 – Definiera krav för mobila enheter Manuell, inaktiverad 1.0.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med hjälp av kryptering Manuell, inaktiverad 1.0.0

Användning av externa system

ID: NIST SP 800-53 Rev. 5 AC-20 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta villkor för åtkomst till resurser CMA_C1076 – Upprätta villkor för åtkomst till resurser Manuell, inaktiverad 1.0.0
Upprätta villkor för bearbetning av resurser CMA_C1077 – Upprätta villkor för bearbetning av resurser Manuell, inaktiverad 1.0.0

Begränsningar för auktoriserad användning

ID: NIST SP 800-53 Rev. 5 AC-20 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Verifiera säkerhetskontroller för externa informationssystem CMA_0541 – Verifiera säkerhetskontroller för externa informationssystem Manuell, inaktiverad 1.0.0

Bärbara lagringsenheter ??? Begränsad användning

ID: NIST SP 800-53 Rev. 5 AC-20 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Blockera obetrodda och osignerade processer som körs via USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.0.0
Kontrollera användningen av bärbara lagringsenheter CMA_0083 – Styra användningen av bärbara lagringsenheter Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Informationsdelning

ID: NIST SP 800-53 Rev. 5 AC-21 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Automatisera beslut om informationsdelning CMA_0028 – Automatisera beslut om informationsdelning Manuell, inaktiverad 1.0.0
Underlätta informationsdelning CMA_0284 – Underlätta informationsdelning Manuell, inaktiverad 1.0.0

Offentligt tillgängligt innehåll

ID: NIST SP 800-53 Rev. 5 AC-22 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utse behörig personal att publicera offentligt tillgänglig information CMA_C1083 – Utse behörig personal att publicera offentligt tillgänglig information Manuell, inaktiverad 1.0.0
Granska innehåll innan du publicerar offentligt tillgänglig information CMA_C1085 – Granska innehåll innan du publicerar offentligt tillgänglig information Manuell, inaktiverad 1.0.0
Granska offentligt tillgängligt innehåll för icke-offentlig information CMA_C1086 – Granska offentligt tillgängligt innehåll för icke-offentlig information Manuell, inaktiverad 1.0.0
Utbilda personal om avslöjande av icke-offentlig information CMA_C1084 – Utbilda personal om avslöjande av icke-offentlig information Manuell, inaktiverad 1.0.0

Medvetenhet och utbildning

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 AT-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera utbildningsaktiviteter för säkerhet och sekretess CMA_0198 – Dokumentera utbildningsaktiviteter för säkerhet och sekretess Manuell, inaktiverad 1.0.0
Uppdatera informationssäkerhetsprinciper CMA_0518 – Uppdatera säkerhetsprinciper för information Manuell, inaktiverad 1.0.0

Utbildning och medvetenhet om läs- och skrivkunnighet

ID: NIST SP 800-53 Rev. 5 AT-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet Manuell, inaktiverad 1.0.0
Tillhandahålla säkerhetsutbildning för nya användare CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare Manuell, inaktiverad 1.0.0
Tillhandahålla uppdaterad utbildning om säkerhetsmedvetenhet CMA_C1090 – Tillhandahålla uppdaterad utbildning om säkerhetsmedvetenhet Manuell, inaktiverad 1.0.0

Insiderhot

ID: NIST SP 800-53 Rev. 5 AT-2 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillhandahålla utbildning om säkerhetsmedvetenhet för insiderhot CMA_0417 – Tillhandahålla utbildning om säkerhetsmedvetenhet för insiderhot Manuell, inaktiverad 1.0.0

Rollbaserad utbildning

ID: NIST SP 800-53 Rev. 5 AT-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillhandahålla regelbunden rollbaserad säkerhetsutbildning CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning Manuell, inaktiverad 1.0.0
Tillhandahålla rollbaserad säkerhetsutbildning CMA_C1094 – Tillhandahålla rollbaserad säkerhetsutbildning Manuell, inaktiverad 1.0.0
Tillhandahålla säkerhetsutbildning innan du ger åtkomst CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst Manuell, inaktiverad 1.0.0

Praktiska övningar

ID: NIST SP 800-53 Rev. 5 AT-3 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillhandahålla rollbaserade praktiska övningar CMA_C1096 – Tillhandahålla rollbaserade praktiska övningar Manuell, inaktiverad 1.0.0

Träningsposter

ID: NIST SP 800-53 Rev. 5 AT-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera utbildningsaktiviteter för säkerhet och sekretess CMA_0198 – Dokumentera utbildningsaktiviteter för säkerhet och sekretess Manuell, inaktiverad 1.0.0
Övervaka slutförande av säkerhets- och sekretessutbildning CMA_0379 – Övervaka slutförande av säkerhets- och sekretessutbildning Manuell, inaktiverad 1.0.0
Behålla träningsposter CMA_0456 – Behålla träningsposter Manuell, inaktiverad 1.0.0

Granskning och ansvarstagande

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 AU-1 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla principer och procedurer för granskning och ansvarstagande CMA_0154 – Utveckla principer och procedurer för granskning och ansvarstagande Manuell, inaktiverad 1.0.0
Utveckla principer och procedurer för informationssäkerhet CMA_0158 – Utveckla principer och procedurer för informationssäkerhet Manuell, inaktiverad 1.0.0
Styra principer och procedurer CMA_0292 – Styra principer och procedurer Manuell, inaktiverad 1.0.0
Uppdatera säkerhetsprinciper för information CMA_0518 – Uppdatera säkerhetsprinciper för information Manuell, inaktiverad 1.0.0

Händelseloggning

ID: NIST SP 800-53 Rev. 5 AU-2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.0.0

Innehållet i granskningsposter

ID: NIST SP 800-53 Rev. 5 AU-3 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.0.0

Ytterligare granskningsinformation

ID: NIST SP 800-53 Rev. 5 AU-3 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Konfigurera Azure Aufit-funktioner CMA_C1108 – Konfigurera Azure Aufit-funktioner Manuell, inaktiverad 1.0.0

Lagringskapacitet för granskningsloggar

ID: NIST SP 800-53 Rev. 5 AU-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Styra och övervaka granskningsbearbetningsaktiviteter CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter Manuell, inaktiverad 1.0.0

Svar på fel i granskningsloggningsprocessen

ID: NIST SP 800-53 Rev. 5 AU-5 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Styra och övervaka granskningsbearbetningsaktiviteter CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter Manuell, inaktiverad 1.0.0

Realtidsaviseringar

ID: NIST SP 800-53 Rev. 5 AU-5 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Ange realtidsaviseringar för granskningshändelsefel CMA_C1114 – Tillhandahålla realtidsaviseringar för granskningshändelsefel Manuell, inaktiverad 1.0.0

Granska granskning, analys och rapportering av granskningsposter

ID: NIST SP 800-53 Rev. 5 AU-6 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molntillägget installerat Microsoft Defender för molntillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för vidare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Inaktiverad 6.0.0-preview
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, Inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, Inaktiverad 1.0.2-förhandsversion
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalvskonton. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, Inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Korrelera granskningsposter CMA_0087 – Korrelera granskningsposter Manuell, inaktiverad 1.0.0
Upprätta krav för granskningsgranskning och rapportering CMA_0277 – Upprätta krav för granskningsgranskning och rapportering Manuell, inaktiverad 1.0.0
Integrera granskning, analys och rapportering CMA_0339 – Integrera granskningsgranskning, analys och rapportering Manuell, inaktiverad 1.0.0
Integrera molnappsäkerhet med en siem CMA_0340 – Integrera cloud app security med en siem Manuell, inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, Inaktiverad 1.0.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för network watcher skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för network watcher inte är tillgänglig i en viss region. AuditIfNotExists, Inaktiverad 3.0.0
Granska kontoetableringsloggar CMA_0460 – Granska kontoetableringsloggar Manuell, inaktiverad 1.0.0
Granska administratörstilldelningar varje vecka CMA_0461 – Granska administratörstilldelningar varje vecka Manuell, inaktiverad 1.0.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.0.0
Översikt över molnidentitetsrapport CMA_0468 – Översikt över molnidentitetsrapport Manuell, inaktiverad 1.0.0
Granska kontrollerade mappåtkomsthändelser CMA_0471 – Granska kontrollerade mappåtkomsthändelser Manuell, inaktiverad 1.0.0
Granska fil- och mappaktivitet CMA_0473 – Granska fil- och mappaktivitet Manuell, inaktiverad 1.0.0
Granska ändringar i rollgruppen varje vecka CMA_0476 – Granska ändringar i rollgruppen varje vecka Manuell, inaktiverad 1.0.0

Automatiserad processintegrering

ID: NIST SP 800-53 Rev. 5 AU-6 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Korrelera granskningsposter CMA_0087 – Korrelera granskningsposter Manuell, inaktiverad 1.0.0
Upprätta krav för granskningsgranskning och rapportering CMA_0277 – Upprätta krav för granskningsgranskning och rapportering Manuell, inaktiverad 1.0.0
Integrera granskning, analys och rapportering CMA_0339 – Integrera granskningsgranskning, analys och rapportering Manuell, inaktiverad 1.0.0
Integrera molnappsäkerhet med en siem CMA_0340 – Integrera cloud app security med en siem Manuell, inaktiverad 1.0.0
Granska kontoetableringsloggar CMA_0460 – Granska kontoetableringsloggar Manuell, inaktiverad 1.0.0
Granska administratörstilldelningar varje vecka CMA_0461 – Granska administratörstilldelningar varje vecka Manuell, inaktiverad 1.0.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.0.0
Granska översikten över molnidentitetsrapport CMA_0468 – Översikt över molnidentitetsrapport Manuell, inaktiverad 1.0.0
Granska kontrollerade mappåtkomsthändelser CMA_0471 – Granska kontrollerade mappåtkomsthändelser Manuell, inaktiverad 1.0.0
Granska fil- och mappaktivitet CMA_0473 – Granska fil- och mappaktivitet Manuell, inaktiverad 1.0.0
Granska ändringar i rollgrupper varje vecka CMA_0476 – Granska ändringar i rollgrupper varje vecka Manuell, inaktiverad 1.0.0

Korrelera lagringsplatser för granskningsposter

ID: NIST SP 800-53 Rev. 5 AU-6 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Korrelera granskningsposter CMA_0087 – Korrelera granskningsposter Manuell, inaktiverad 1.0.0
Integrera cloud app security med en siem CMA_0340 – Integrera cloud app security med en siem Manuell, inaktiverad 1.0.0

Central granskning och analys

ID: NIST SP 800-53 Rev. 5 AU-6 (4) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molntillägget installerat Microsoft Defender för molntillägg för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 6.0.0-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade funktioner för nätverksskydd, till exempel trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade funktioner för nätverksskydd, till exempel trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
App Service appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsloggar i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
Granskning på SQL Server ska vara aktiverat Granskning av SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration För att övervaka säkerhetsproblem och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. AuditIfNotExists, inaktiverad 1.0.1
Azure Defender för App Service bör vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet i DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalvskonton. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, Inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tillägget övervakar omfattar konfigurationen av operativsystemet, programkonfigurationen eller närvaron och miljöinställningarna. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, Inaktiverad 1.0.2
Log Analytics-agenten ska installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, Inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. AuditIfNotExists, Inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, Inaktiverad 1.0.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för network watcher skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för network watcher inte är tillgänglig i en viss region. AuditIfNotExists, Inaktiverad 3.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Event Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i IoT Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 3.0.1
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Söktjänster ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Resursloggar i Virtual Machine Scale Sets ska vara aktiverade Vi rekommenderar att du aktiverar loggar så att aktivitetsspåret kan återskapas när undersökningar krävs i händelse av en incident eller en kompromiss. AuditIfNotExists, Inaktiverad 2.1.0
Tillägg för gästkonfiguration för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, Inaktiverad 1.0.1

Integrerad analys av granskningsposter

ID: NIST SP 800-53 Rev. 5 AU-6 (5) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molntillägget installerat Microsoft Defender för molntillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för vidare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Inaktiverad 6.0.0-preview
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, Inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, Inaktiverad 1.0.2-förhandsversion
App Service appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, Inaktiverad 2.0.1
Granskning på SQL Server ska vara aktiverat Granskning av din SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, Inaktiverad 2.0.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration Om du vill övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och eventuella nya som skapas. AuditIfNotExists, Inaktiverad 1.0.1
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalvskonton. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.3
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tillägget övervakar inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Integrera granskningspostanalys CMA_C1120 – Integrera analys av granskningsposter Manuell, inaktiverad 1.0.0
Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad, vilket Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och Kubernetes-miljöer med flera moln. AuditIfNotExists, inaktiverad 1.0.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i IoT Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 3.0.1
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Söktjänster ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Virtual Machine Scale Sets ska vara aktiverade Vi rekommenderar att du aktiverar loggar så att aktivitetsloggen kan återskapas när undersökningar krävs i händelse av en incident eller en kompromiss. AuditIfNotExists, inaktiverad 2.1.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i den här principens omfång är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, Inaktiverad 1.0.1

Tillåtna åtgärder

ID: NIST SP 800-53 Rev. 5 AU-6 (7) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Ange tillåtna åtgärder som är associerade med kundgranskningsinformation CMA_C1122 – Ange tillåtna åtgärder som är associerade med kundgranskningsinformation Manuell, inaktiverad 1.0.0

Minskning av granskningsposter och rapportgenerering

ID: NIST SP 800-53 Rev. 5 AU-7 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera att granskningsposter inte ändras CMA_C1125 – Kontrollera att granskningsposter inte ändras Manuell, inaktiverad 1.0.0
Tillhandahålla gransknings-, analys- och rapporteringsfunktioner CMA_C1124 – Tillhandahålla gransknings-, analys- och rapporteringsfunktioner Manuell, inaktiverad 1.0.0

Automatisk bearbetning

ID: NIST SP 800-53 Rev. 5 AU-7 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Ge möjlighet att bearbeta kundkontrollerade granskningsposter CMA_C1126 – Ge möjlighet att bearbeta kundkontrollerade granskningsposter Manuell, inaktiverad 1.0.0

Tidsstämplar

ID: NIST SP 800-53 Rev. 5 AU-8 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda systemklockor för granskningsposter CMA_0535 – Använda systemklockor för granskningsposter Manuell, inaktiverad 1.0.0

Skydd av granskningsinformation

ID: NIST SP 800-53 Rev. 5 AU-9 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Aktivera dubbel eller gemensam auktorisering CMA_0226 – Aktivera dubbel eller gemensam auktorisering Manuell, inaktiverad 1.0.0
Skydda granskningsinformation CMA_0401 – Skydda granskningsinformation Manuell, inaktiverad 1.0.0

Lagra på separata fysiska system eller komponenter

ID: NIST SP 800-53 Rev. 5 AU-9 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta principer och procedurer för säkerhetskopiering CMA_0268 – Upprätta principer och procedurer för säkerhetskopiering Manuell, inaktiverad 1.0.0

Kryptografiskt skydd

ID: NIST SP 800-53 Rev. 5 AU-9 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätthålla integriteten i granskningssystemet CMA_C1133 – Upprätthålla integriteten i granskningssystemet Manuell, inaktiverad 1.0.0

Åtkomst efter delmängd av privilegierade användare

ID: NIST SP 800-53 Rev. 5 AU-9 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Skydda granskningsinformation CMA_0401 – Skydda granskningsinformation Manuell, inaktiverad 1.0.0

Oavvislighet

ID: NIST SP 800-53 Rev. 5 AU-10 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta krav på elektronisk signatur och certifikat CMA_0271 – Upprätta krav på elektronisk signatur och certifikat Manuell, inaktiverad 1.0.0

Kvarhållning av granskningsposter

ID: NIST SP 800-53 Rev. 5 AU-11 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Följa definierade kvarhållningsperioder CMA_0004 – Följa definierade kvarhållningsperioder Manuell, inaktiverad 1.0.0
Behålla säkerhetsprinciper och procedurer CMA_0454 – Behålla säkerhetsprinciper och procedurer Manuell, inaktiverad 1.0.0
Behåll avslutade användardata CMA_0455 – Behålla avslutade användardata Manuell, inaktiverad 1.0.0
SQL-servrar med granskning till lagringskontots mål ska konfigureras med 90 dagars kvarhållning eller högre I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för din SQL Server granskning till lagringskontots mål på minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. AuditIfNotExists, inaktiverad 3.0.0

Generering av granskningsposter

ID: NIST SP 800-53 Rev. 5 AU-12 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molntillägget installerat Microsoft Defender för molntillägg för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 6.0.0-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade funktioner för nätverksskydd, till exempel trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade funktioner för nätverksskydd, till exempel trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
App Service appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsloggar i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.0.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.0.0
Granskning på SQL Server ska vara aktiverat Granskning av SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration För att övervaka säkerhetsproblem och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. AuditIfNotExists, inaktiverad 1.0.1
Azure Defender för App Service bör vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet i DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Key Vault bör vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Resource Manager bör vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer bör vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.3
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.0.0
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tillägget övervakar inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad, vilket Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och Kubernetes-miljöer med flera moln. AuditIfNotExists, inaktiverad 1.0.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i IoT Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 3.0.1
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Söktjänster ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Virtual Machine Scale Sets ska vara aktiverade Vi rekommenderar att du aktiverar loggar så att aktivitetsloggen kan återskapas när undersökningar krävs i händelse av en incident eller en kompromiss. AuditIfNotExists, inaktiverad 2.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i den här principens omfång är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Systemomfattande och tidskorrelerad granskningslogg

ID: NIST SP 800-53 Rev. 5 AU-12 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molntillägget installerat Microsoft Defender för molntillägg för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 6.0.0-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade funktioner för nätverksskydd, till exempel trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade funktioner för nätverksskydd, till exempel trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
App Service appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsloggar i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
Granskning på SQL Server ska vara aktiverat Granskning av SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration För att övervaka säkerhetsproblem och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. AuditIfNotExists, inaktiverad 1.0.1
Azure Defender för App Service bör vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet i DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Key Vault bör vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Resource Manager bör vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer bör vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.3
Kompilera granskningsposter till systemomfattande granskning CMA_C1140 – Kompilera granskningsposter till systemomfattande granskning Manuell, inaktiverad 1.0.0
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tillägget övervakar inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad, vilket Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och Kubernetes-miljöer med flera moln. AuditIfNotExists, inaktiverad 1.0.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i IoT Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 3.0.1
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Söktjänster ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Virtual Machine Scale Sets ska vara aktiverade Vi rekommenderar att du aktiverar loggar så att aktivitetsloggen kan återskapas när undersökningar krävs i händelse av en incident eller en kompromiss. AuditIfNotExists, inaktiverad 2.1.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i den här principens omfång är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Ändringar av auktoriserade personer

ID: NIST SP 800-53 Rev. 5 AU-12 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Ge möjlighet att utöka eller begränsa granskning av kunddistribuerade resurser CMA_C1141 – Ge möjlighet att utöka eller begränsa granskning av kunddistribuerade resurser Manuell, inaktiverad 1.0.0

Utvärdering, auktorisering och övervakning

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 CA-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska principer och procedurer för säkerhetsutvärdering och auktorisering CMA_C1143 – Granska principer och procedurer för säkerhetsutvärdering och auktorisering Manuell, inaktiverad 1.0.0

Kontrollutvärderingar

ID: NIST SP 800-53 Rev. 5 CA-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utvärdera säkerhetskontroller CMA_C1145 – Utvärdera säkerhetskontroller Manuell, inaktiverad 1.0.0
Leverera resultat från säkerhetsutvärderingar CMA_C1147 – Leverera resultat från säkerhetsutvärdering Manuell, inaktiverad 1.0.0
Utveckla en plan för säkerhetsutvärdering CMA_C1144 – Utveckla en plan för säkerhetsutvärdering Manuell, inaktiverad 1.0.0
Skapa säkerhetsutvärderingsrapport CMA_C1146 – Skapa säkerhetsutvärderingsrapport Manuell, inaktiverad 1.0.0

Oberoende bedömare

ID: NIST SP 800-53 Rev. 5 CA-2 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda oberoende bedömare för att utföra säkerhetskontrollutvärderingar CMA_C1148 – Använda oberoende bedömare för att utföra säkerhetskontrollutvärderingar Manuell, inaktiverad 1.0.0

Specialiserade utvärderingar

ID: NIST SP 800-53 Rev. 5 CA-2 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Välj ytterligare testning för utvärderingar av säkerhetskontroll CMA_C1149 – Välj ytterligare testning för utvärderingar av säkerhetskontroll Manuell, inaktiverad 1.0.0

Utnyttja resultat från externa organisationer

ID: NIST SP 800-53 Rev. 5 CA-2 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Acceptera utvärderingsresultat CMA_C1150 – Acceptera utvärderingsresultat Manuell, inaktiverad 1.0.0

Information Exchange

ID: NIST SP 800-53 Rev. 5 CA-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kräv säkerhetsavtal för sammankoppling CMA_C1151 – Kräv säkerhetsavtal för sammankoppling Manuell, inaktiverad 1.0.0
Uppdatera säkerhetsavtal för sammankoppling CMA_0519 – Uppdatera säkerhetsavtal för sammankoppling Manuell, inaktiverad 1.0.0

Åtgärdsplan och milstolpar

ID: NIST SP 800-53 Rev. 5 CA-5 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla POA&M CMA_C1156 – Utveckla POA&M Manuell, inaktiverad 1.0.0
Uppdatera POA&M-objekt CMA_C1157 – Uppdatera POA&M-objekt Manuell, inaktiverad 1.0.0

Auktorisering

ID: NIST SP 800-53 Rev. 5 CA-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tilldela en auktoriserande tjänsteman (AO) CMA_C1158 – Tilldela en auktoriserande tjänsteman (AO) Manuell, inaktiverad 1.0.0
Kontrollera att resurser är auktoriserade CMA_C1159 – Se till att resurserna är auktoriserade Manuell, inaktiverad 1.0.0
Uppdatera säkerhetsauktoriseringen CMA_C1160 – Uppdatera säkerhetsauktoriseringen Manuell, inaktiverad 1.0.0

Kontinuerlig övervakning

ID: NIST SP 800-53 Rev. 5 CA-7 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Konfigurera vitlista för identifiering CMA_0068 – Konfigurera vitlista för identifiering Manuell, inaktiverad 1.0.0
Aktivera sensorer för slutpunktssäkerhetslösning CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning Manuell, inaktiverad 1.0.0
Genomgå oberoende säkerhetsgranskning CMA_0515 – Genomgå oberoende säkerhetsgranskning Manuell, inaktiverad 1.0.0

Oberoende utvärdering

ID: NIST SP 800-53 Rev. 5 CA-7 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anställa oberoende bedömare för kontinuerlig övervakning CMA_C1168 – Använda oberoende bedömare för kontinuerlig övervakning Manuell, inaktiverad 1.0.0

Trendanalyser

ID: NIST SP 800-53 Rev. 5 CA-7 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Analysera data som hämtats från kontinuerlig övervakning CMA_C1169 – Analysera data från kontinuerlig övervakning Manuell, inaktiverad 1.0.0

Oberoende penetrationstestningsagent eller team

ID: NIST SP 800-53 Rev. 5 CA-8 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anställa oberoende team för intrångstestning CMA_C1171 – Anställa oberoende team för penetrationstestning Manuell, inaktiverad 1.0.0

Interna systemanslutningar

ID: NIST SP 800-53 Rev. 5 CA-9 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera sekretess och säkerhetsefterlevnad innan du upprättar interna anslutningar CMA_0053 – Kontrollera sekretess och säkerhetsefterlevnad innan du upprättar interna anslutningar Manuell, inaktiverad 1.0.0

Konfigurationshantering

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 CM-1 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för konfigurationshantering CMA_C1175 – Granska och uppdatera principer och procedurer för konfigurationshantering Manuell, inaktiverad 1.0.0

Baslinjekonfiguration

ID: NIST SP 800-53 Rev. 5 CM-2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Konfigurera åtgärder för inkompatibla enheter CMA_0062 – Konfigurera åtgärder för inkompatibla enheter Manuell, inaktiverad 1.0.0
Utveckla och underhålla baslinjekonfigurationer CMA_0153 – Utveckla och underhålla baslinjekonfigurationer Manuell, inaktiverad 1.0.0
Framtvinga inställningar för säkerhetskonfiguration CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration Manuell, inaktiverad 1.0.0
Upprätta ett kontrollkort för konfiguration CMA_0254 – Upprätta ett kontrollkort för konfiguration Manuell, inaktiverad 1.0.0
Upprätta och dokumentera en konfigurationshanteringsplan CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan Manuell, inaktiverad 1.0.0
Implementera ett automatiserat konfigurationshanteringsverktyg CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg Manuell, inaktiverad 1.0.0

Automation-stöd för noggrannhet och valuta

ID: NIST SP 800-53 Rev. 5 CM-2 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Konfigurera åtgärder för inkompatibla enheter CMA_0062 – Konfigurera åtgärder för inkompatibla enheter Manuell, inaktiverad 1.0.0
Utveckla och underhålla baslinjekonfigurationer CMA_0153 – Utveckla och underhålla baslinjekonfigurationer Manuell, inaktiverad 1.0.0
Framtvinga inställningar för säkerhetskonfiguration CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration Manuell, inaktiverad 1.0.0
Upprätta ett kontrollkort för konfiguration CMA_0254 – Upprätta ett kontrollkort för konfiguration Manuell, inaktiverad 1.0.0
Upprätta och dokumentera en konfigurationshanteringsplan CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan Manuell, inaktiverad 1.0.0
Implementera ett automatiserat konfigurationshanteringsverktyg CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg Manuell, inaktiverad 1.0.0

Kvarhållning av tidigare konfigurationer

ID: NIST SP 800-53 Rev. 5 CM-2 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Behåll tidigare versioner av baslinjekonfigurationer CMA_C1181 – Behåll tidigare versioner av baslinjekonfigurationer Manuell, inaktiverad 1.0.0

Konfigurera system och komponenter för högriskområden

ID: NIST SP 800-53 Rev. 5 CM-2 (7) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Se till att säkerhetsskyddet inte behövs när individerna återvänder CMA_C1183 – Se till att säkerhetsskyddet inte behövs när individerna återvänder Manuell, inaktiverad 1.0.0
Tillåt inte att informationssystem medföljer enskilda användare CMA_C1182 – Tillåter inte att informationssystem medföljer enskilda användare Manuell, inaktiverad 1.0.0

Ändringskontroll för konfiguration

ID: NIST SP 800-53 Rev. 5 CM-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra en analys av säkerhetspåverkan CMA_0057 – Utföra en analys av säkerhetspåverkan Manuell, inaktiverad 1.0.0
Utveckla och underhålla en standard för sårbarhetshantering CMA_0152 – Utveckla och underhålla en standard för sårbarhetshantering Manuell, inaktiverad 1.0.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en strategi för riskhantering Manuell, inaktiverad 1.0.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.0.0
Upprätta konfigurationshanteringskrav för utvecklare CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare Manuell, inaktiverad 1.0.0
Utföra en konsekvensbedömning av sekretess CMA_0387 – Utföra en konsekvensbedömning av sekretess Manuell, inaktiverad 1.0.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.0.0
Utföra granskning för konfigurationsändringskontroll CMA_0390 – Utföra granskning för konfigurationsändringskontroll Manuell, inaktiverad 1.0.0

Automatiserad dokumentation, meddelande och förbud mot ändringar

ID: NIST SP 800-53 Rev. 5 CM-3 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Automatisera begäran om godkännande för föreslagna ändringar CMA_C1192 – Automatisera begäran om godkännande för föreslagna ändringar Manuell, inaktiverad 1.0.0
Automatisera implementeringen av godkända ändringsmeddelanden CMA_C1196 – Automatisera implementeringen av godkända ändringsmeddelanden Manuell, inaktiverad 1.0.0
Automatisera processen för att dokumentera implementerade ändringar CMA_C1195 – Automatisera processen för att dokumentera implementerade ändringar Manuell, inaktiverad 1.0.0
Automatisera processen för att markera ändringsförslag som inte har granskats CMA_C1193 – Automatisera processen för att lyfta fram ändringsförslag som inte har granskats Manuell, inaktiverad 1.0.0
Automatisera processen för att förhindra implementering av icke godkända ändringar CMA_C1194 – Automatisera processen för att förhindra implementering av icke godkända ändringar Manuell, inaktiverad 1.0.0
Automatisera föreslagna dokumenterade ändringar CMA_C1191 – Automatisera föreslagna dokumenterade ändringar Manuell, inaktiverad 1.0.0

Testning, validering och dokumentation om ändringar

ID: NIST SP 800-53 Rev. 5 CM-3 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.0.0
Upprätta konfigurationshanteringskrav för utvecklare CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare Manuell, inaktiverad 1.0.0
Utföra granskning för konfigurationsändringskontroll CMA_0390 – Utföra granskning för konfigurationsändringskontroll Manuell, inaktiverad 1.0.0

Säkerhets- och sekretessrepresentanter

ID: NIST SP 800-53 Rev. 5 CM-3 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tilldela informationssäkerhetsrepresentant till ändringskontroll CMA_C1198 – Tilldela informationssäkerhetsrepresentant till ändringskontroll Manuell, inaktiverad 1.0.0

Kryptografihantering

ID: NIST SP 800-53 Rev. 5 CM-3 (6) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera att kryptografiska mekanismer är under konfigurationshantering CMA_C1199 – Se till att kryptografiska mekanismer är under konfigurationshantering Manuell, inaktiverad 1.0.0

Effektanalyser

ID: NIST SP 800-53 Rev. 5 CM-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra en analys av säkerhetspåverkan CMA_0057 – Utföra en analys av säkerhetspåverkan Manuell, inaktiverad 1.0.0
Utveckla och underhålla en standard för sårbarhetshantering CMA_0152 – Utveckla och upprätthålla en standard för sårbarhetshantering Manuell, inaktiverad 1.0.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.0.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.0.0
Upprätta konfigurationshanteringskrav för utvecklare CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare Manuell, inaktiverad 1.0.0
Utföra en bedömning av sekretesspåverkan CMA_0387 – Utföra en bedömning av sekretesspåverkan Manuell, inaktiverad 1.0.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.0.0
Utföra granskning för konfigurationsändringskontroll CMA_0390 – Utföra granskning för konfigurationsändringskontroll Manuell, inaktiverad 1.0.0

Separata testmiljöer

ID: NIST SP 800-53 Rev. 5 CM-4 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra en analys av säkerhetspåverkan CMA_0057 – Utföra en analys av säkerhetspåverkan Manuell, inaktiverad 1.0.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.0.0
Upprätta konfigurationshanteringskrav för utvecklare CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare Manuell, inaktiverad 1.0.0
Utföra en bedömning av sekretesspåverkan CMA_0387 – Utföra en bedömning av sekretesspåverkan Manuell, inaktiverad 1.0.0
Utföra granskning för konfigurationsändringskontroll CMA_0390 – Utföra granskning för konfigurationsändringskontroll Manuell, inaktiverad 1.0.0

Åtkomstbegränsningar för ändring

ID: NIST SP 800-53 Rev. 5 CM-5 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.0.0

Tvingande och granskningsposter för automatisk åtkomst

ID: NIST SP 800-53 Rev. 5 CM-5 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Framtvinga och granska åtkomstbegränsningar CMA_C1203 – Framtvinga och granska åtkomstbegränsningar Manuell, inaktiverad 1.0.0

Behörighetsbegränsning för produktion och åtgärd

ID: NIST SP 800-53 Rev. 5 CM-5 (5) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Begränsa behörigheter för att göra ändringar i produktionsmiljön CMA_C1206 – Begränsa behörigheter för att göra ändringar i produktionsmiljön Manuell, inaktiverad 1.0.0
Granska och omvärdera privilegier CMA_C1207 – Granska och omvärdera privilegier Manuell, inaktiverad 1.0.0

Konfigurationsinställningar

ID: NIST SP 800-53 Rev. 5 CM-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Granskning, inaktiverad 3.0.0
App Service appar ska ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service app. Fjärrfelsökning bör stängas av. AuditIfNotExists, Inaktiverad 2.0.0
App Service appar bör inte ha CORS konfigurerat så att alla resurser får åtkomst till dina appar Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, Inaktiverad 2.0.0
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster Azure Policy tillägg för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanten för Open Policy Agent (OPA), för att tillämpa skalbara tvingande åtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Granskning, inaktiverad 1.0.2
Framtvinga inställningar för säkerhetskonfiguration CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration Manuell, inaktiverad 1.0.0
Funktionsappar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kommer att kunna nå appen. Granskning, inaktiverad 3.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning bör stängas av. AuditIfNotExists, Inaktiverad 2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. AuditIfNotExists, inaktiverad 2.0.0
Cpu- och minnesresursgränser för Kubernetes-klustercontainrar får inte överskrida de angivna gränserna Framtvinga gränser för containerns cpu- och minnesresurser för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.0.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde Blockera podcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.0
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar Använd avbildningar från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.0.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.0
Kubernetes-klusterpoddar och -containrar bör endast köras med godkända användar- och grupp-ID:er Kontrollera användaren, den primära gruppen, kompletterande grupp- och filsystemgrupps-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.0
Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar Begränsa tjänster till att endast lyssna på tillåtna portar för säker åtkomst till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.0.0
Kubernetes-kluster bör inte tillåta privilegierade containrar Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.0.0
Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.0.0
Linux-datorer bör uppfylla kraven för säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.0.0
Windows-datorer bör uppfylla kraven för säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.0.0

Automatiserad hantering, program och verifiering

ID: NIST SP 800-53 Rev. 5 CM-6 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Framtvinga inställningar för säkerhetskonfiguration CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration Manuell, inaktiverad 1.0.0
Styra efterlevnaden för molntjänstleverantörer CMA_0290 – Styra efterlevnaden för molntjänstleverantörer Manuell, inaktiverad 1.0.0
Visa och konfigurera systemdiagnostikdata CMA_0544 – Visa och konfigurera systemdiagnostikdata Manuell, inaktiverad 1.0.0

Minst funktionalitet

ID: NIST SP 800-53 Rev. 5 CM-7 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att härda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända säkra program. AuditIfNotExists, Inaktiverad 3.0.0
Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. AuditIfNotExists, Inaktiverad 3.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3

Förhindra programkörning

ID: NIST SP 800-53 Rev. 5 CM-7 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att härda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända säkra program. AuditIfNotExists, Inaktiverad 3.0.0
Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. AuditIfNotExists, Inaktiverad 3.0.0

Auktoriserad programvara ??? Tillåt efter undantag

ID: NIST SP 800-53 Rev. 5 CM-7 (5) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att härda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända säkra program. AuditIfNotExists, Inaktiverad 3.0.0
Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. AuditIfNotExists, Inaktiverad 3.0.0

Systemkomponentinventering

ID: NIST SP 800-53 Rev. 5 CM-8 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Skapa en datainventering CMA_0096 – Skapa en datainventering Manuell, inaktiverad 1.0.0
Upprätthålla register över bearbetning av personuppgifter CMA_0353 – Upprätthålla register över bearbetning av personuppgifter Manuell, inaktiverad 1.0.0

Uppdateringar under installation och borttagning

ID: NIST SP 800-53 Rev. 5 CM-8 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Skapa en datainventering CMA_0096 – Skapa en datainventering Manuell, inaktiverad 1.0.0
Upprätthålla register över bearbetning av personuppgifter CMA_0353 – Upprätthålla register över bearbetning av personuppgifter Manuell, inaktiverad 1.0.0

Automatisk identifiering av obehöriga komponenter

ID: NIST SP 800-53 Rev. 5 CM-8 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Aktivera identifiering av nätverksenheter CMA_0220 – Aktivera identifiering av nätverksenheter Manuell, inaktiverad 1.0.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.0.0

Ansvarsinformation

ID: NIST SP 800-53 Rev. 5 CM-8 (4) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Skapa en datainventering CMA_0096 – Skapa en datainventering Manuell, inaktiverad 1.0.0
Upprätta och underhålla en tillgångsinventering CMA_0266 – Upprätta och underhålla en tillgångsinventering Manuell, inaktiverad 1.0.0

Konfigurationshanteringsplan

ID: NIST SP 800-53 Rev. 5 CM-9 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Skapa skydd för konfigurationsplan CMA_C1233 – Skapa skydd för konfigurationsplan Manuell, inaktiverad 1.0.0
Utveckla och underhålla baslinjekonfigurationer CMA_0153 – Utveckla och underhålla baslinjekonfigurationer Manuell, inaktiverad 1.0.0
Utveckla en plan för identifiering av konfigurationsobjekt CMA_C1231 – Utveckla en plan för identifiering av konfigurationsobjekt Manuell, inaktiverad 1.0.0
Utveckla konfigurationshanteringsplan CMA_C1232 – Utveckla konfigurationshanteringsplan Manuell, inaktiverad 1.0.0
Upprätta och dokumentera en konfigurationshanteringsplan CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan Manuell, inaktiverad 1.0.0
Implementera ett automatiserat konfigurationshanteringsverktyg CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg Manuell, inaktiverad 1.0.0

Begränsningar för programanvändning

ID: NIST SP 800-53 Rev. 5 CM-10 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. AuditIfNotExists, inaktiverad 3.0.0
Reglerna för listan över tillåtna i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslår en lista över kända och säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara principer för programkontroll. AuditIfNotExists, inaktiverad 3.0.0
Kräv efterlevnad av immateriella rättigheter CMA_0432 – Kräv efterlevnad av immateriella rättigheter Manuell, inaktiverad 1.0.0
Spåra användning av programvarulicenser CMA_C1235 – Spåra programlicensanvändning Manuell, inaktiverad 1.0.0

Programvara med öppen källkod

ID: NIST SP 800-53 Rev. 5 CM-10 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Begränsa användningen av öppen källkod programvara CMA_C1237 – Begränsa användningen av öppen källkod programvara Manuell, inaktiverad 1.0.0

Användarinstallerad programvara

ID: NIST SP 800-53 Rev. 5 CM-11 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. AuditIfNotExists, inaktiverad 3.0.0
Reglerna för listan över tillåtna i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslår en lista över kända och säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara principer för programkontroll. AuditIfNotExists, inaktiverad 3.0.0

Beredskapsplanering

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 CP-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för beredskapsplanering CMA_C1243 – Granska och uppdatera principer och procedurer för beredskapsplanering Manuell, inaktiverad 1.0.0

Beredskapsplan

ID: NIST SP 800-53 Rev. 5 CP-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kommunicera ändringar i beredskapsplanen CMA_C1249 – Kommunicera ändringar i beredskapsplanen Manuell, inaktiverad 1.0.0
Samordna beredskapsplaner med relaterade planer CMA_0086 – Samordna beredskapsplaner med relaterade planer Manuell, inaktiverad 1.0.0
Utveckla och dokumentera en plan för affärskontinuitet och haveriberedskap CMA_0146 – Utveckla och dokumentera en plan för affärskontinuitet och haveriberedskap Manuell, inaktiverad 1.0.0
Utveckla beredskapsplan CMA_C1244 – Utveckla beredskapsplan Manuell, inaktiverad 1.0.0
Utveckla beredskapsplaneringsprinciper och -procedurer CMA_0156 – Utveckla principer och procedurer för beredskapsplanering Manuell, inaktiverad 1.0.0
Distribuera principer och procedurer CMA_0185 – Distribuera principer och procedurer Manuell, inaktiverad 1.0.0
Granska beredskapsplan CMA_C1247 – Granska beredskapsplan Manuell, inaktiverad 1.0.0
Uppdatera beredskapsplan CMA_C1248 – Uppdatera beredskapsplan Manuell, inaktiverad 1.0.0

ID: NIST SP 800-53 Rev. 5 CP-2 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Samordna beredskapsplaner med relaterade planer CMA_0086 – Samordna beredskapsplaner med relaterade planer Manuell, inaktiverad 1.0.0

Kapacitetsplanering

ID: NIST SP 800-53 Rev. 5 CP-2 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Genomföra kapacitetsplanering CMA_C1252 – Genomföra kapacitetsplanering Manuell, inaktiverad 1.0.0

Återuppta uppdrags- och affärsfunktioner

ID: NIST SP 800-53 Rev. 5 CP-2 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Planera för återupptagande av viktiga affärsfunktioner CMA_C1253 – Planera för återupptagande av viktiga affärsfunktioner Manuell, inaktiverad 1.0.0

Fortsätt mission och affärsfunktioner

ID: NIST SP 800-53 Rev. 5 CP-2 (5) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Planera för fortsättning av viktiga affärsfunktioner CMA_C1255 – Planera för fortsättning av viktiga affärsfunktioner Manuell, inaktiverad 1.0.0

Identifiera kritiska tillgångar

ID: NIST SP 800-53 Rev. 5 CP-2 (8) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra en utvärdering av affärspåverkan och utvärdering av programkritiskhet CMA_0386 – Utföra en utvärdering av affärspåverkan och programkritiskhet Manuell, inaktiverad 1.0.0

Beredskapsutbildning

ID: NIST SP 800-53 Rev. 5 CP-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillhandahålla beredskapsutbildning CMA_0412 – Tillhandahålla beredskapsutbildning Manuell, inaktiverad 1.0.0

Simulerade händelser

ID: NIST SP 800-53 Rev. 5 CP-3 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Införliva simulerad beredskapsträning CMA_C1260 – Införliva simulerad beredskapsträning Manuell, inaktiverad 1.0.0

Testning av beredskapsplan

ID: NIST SP 800-53 Rev. 5 CP-4 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Initiera beredskapsplan för testning av korrigerande åtgärder CMA_C1263 – Initiera beredskapsplan för testning av korrigerande åtgärder Manuell, inaktiverad 1.0.0
Granska resultatet av testning av beredskapsplaner CMA_C1262 – Granska resultatet av testning av beredskapsplaner Manuell, inaktiverad 1.0.0
Testa planen för affärskontinuitet och haveriberedskap CMA_0509 – Testa planen för affärskontinuitet och haveriberedskap Manuell, inaktiverad 1.0.0

ID: NIST SP 800-53 Rev. 5 CP-4 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Samordna beredskapsplaner med relaterade planer CMA_0086 – Samordna beredskapsplaner med relaterade planer Manuell, inaktiverad 1.0.0

Alternativ bearbetningsplats

ID: NIST SP 800-53 Rev. 5 CP-4 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utvärdera funktioner för alternativa bearbetningswebbplatser CMA_C1266 – Utvärdera funktioner för alternativa bearbetningsplatser Manuell, inaktiverad 1.0.0
Testa beredskapsplan på en alternativ bearbetningsplats CMA_C1265 – Testa beredskapsplan på en alternativ bearbetningsplats Manuell, inaktiverad 1.0.0

Alternativ lagringsplats

ID: NIST SP 800-53 Rev. 5 CP-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Se till att alternativa skydd för lagringsplatsen motsvarar den primära platsen CMA_C1268 – Se till att alternativa skydd för lagringsplatsen motsvarar den primära platsen Manuell, inaktiverad 1.0.0
Upprätta en alternativ lagringsplats för att lagra och hämta säkerhetskopieringsinformation CMA_C1267 – Upprätta en alternativ lagringsplats för att lagra och hämta säkerhetskopieringsinformation Manuell, inaktiverad 1.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant lagring ska vara aktiverat för lagringskonton Använda geo-redundans för att skapa program med hög tillgänglighet Granskning, inaktiverad 1.0.0
Långsiktig geo-redundant säkerhetskopiering ska aktiveras för Azure SQL-databaser Den här principen granskar alla Azure SQL-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. AuditIfNotExists, inaktiverad 2.0.0

Separation från primär plats

ID: NIST SP 800-53 Rev. 5 CP-6 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Skapa separata alternativa och primära lagringsplatser CMA_C1269 – Skapa separata alternativa och primära lagringsplatser Manuell, inaktiverad 1.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant lagring ska vara aktiverat för lagringskonton Använda geo-redundans för att skapa program med hög tillgänglighet Granskning, inaktiverad 1.0.0
Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL-databaser Den här principen granskar alla Azure SQL Database med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. AuditIfNotExists, Inaktiverad 2.0.0

Mål för återställningstid och återställningspunkt

ID: NIST SP 800-53 Rev. 5 CP-6 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta en alternativ lagringsplats som underlättar återställningsåtgärder CMA_C1270 – Upprätta en alternativ lagringsplats som underlättar återställningsåtgärder Manuell, inaktiverad 1.0.0

Tillgänglighet

ID: NIST SP 800-53 Rev. 5 CP-6 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Identifiera och åtgärda potentiella problem på en annan lagringsplats CMA_C1271 – Identifiera och åtgärda potentiella problem på en annan lagringsplats Manuell, inaktiverad 1.0.0

Alternativ bearbetningsplats

ID: NIST SP 800-53 Rev. 5 CP-7 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska virtuella datorer utan att haveriberedskap har konfigurerats Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Upprätta en alternativ bearbetningsplats CMA_0262 – Upprätta en alternativ bearbetningsplats Manuell, inaktiverad 1.0.0

Separation från primär plats

ID: NIST SP 800-53 Rev. 5 CP-7 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta en alternativ bearbetningsplats CMA_0262 – Upprätta en alternativ bearbetningsplats Manuell, inaktiverad 1.0.0

Tillgänglighet

ID: NIST SP 800-53 Rev. 5 CP-7 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta en alternativ bearbetningsplats CMA_0262 – Upprätta en alternativ bearbetningsplats Manuell, inaktiverad 1.0.0

Tjänstens prioritet

ID: NIST SP 800-53 Rev. 5 CP-7 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta en alternativ bearbetningsplats CMA_0262 – Upprätta en alternativ bearbetningsplats Manuell, inaktiverad 1.0.0
Upprätta krav för internetleverantörer CMA_0278 – Upprätta krav för internetleverantörer Manuell, inaktiverad 1.0.0

Förberedelse för användning

ID: NIST SP 800-53 Rev. 5 CP-7 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Förbereda en alternativ bearbetningsplats för användning som driftplats CMA_C1278 – Förbereda alternativ bearbetningsplats för användning som driftplats Manuell, inaktiverad 1.0.0

Prioritet för tjänstbestämmelser

ID: NIST SP 800-53 Rev. 5 CP-8 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta krav för internetleverantörer CMA_0278 – Upprätta krav för internetleverantörer Manuell, inaktiverad 1.0.0

Systemsäkerhetskopiering

ID: NIST SP 800-53 Rev. 5 CP-9 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Backup ska aktiveras för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, Inaktiverad 3.0.0
Utföra säkerhetskopiering av dokumentation om informationssystem CMA_C1289 – Utföra säkerhetskopiering av dokumentation om informationssystem Manuell, inaktiverad 1.0.0
Upprätta principer och procedurer för säkerhetskopiering CMA_0268 – Upprätta principer och procedurer för säkerhetskopiering Manuell, inaktiverad 1.0.0
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0
Nyckelvalv bör ha rensningsskydd aktiverat Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa nyckelvalv. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Granska, neka, inaktiverad 2.0.0
Nyckelvalv bör ha mjuk borttagning aktiverat Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, neka, inaktiverad 3.0.0

Separat lagring för kritisk information

ID: NIST SP 800-53 Rev. 5 CP-9 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Lagra säkerhetskopieringsinformation separat CMA_C1293 – Lagra säkerhetskopieringsinformation separat Manuell, inaktiverad 1.0.0

Överföra till alternativ lagringsplats

ID: NIST SP 800-53 Rev. 5 CP-9 (5) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Överföra säkerhetskopieringsinformation till en alternativ lagringsplats CMA_C1294 – Överföra säkerhetskopieringsinformation till en alternativ lagringsplats Manuell, inaktiverad 1.0.0

Systemåterställning och återställning

ID: NIST SP 800-53 Rev. 5 CP-10 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Återställa och rekonfigurera resurser efter eventuella avbrott CMA_C1295 – Återställa och rekonfigurera resurser efter eventuella avbrott Manuell, inaktiverad 1.0.0

Transaktionsåterställning

ID: NIST SP 800-53 Rev. 5 CP-10 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera transaktionsbaserad återställning CMA_C1296 – Implementera transaktionsbaserad återställning Manuell, inaktiverad 1.0.0

Återställning inom tidsperiod

ID: NIST SP 800-53 Rev. 5 CP-10 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Återställa till drifttillstånd CMA_C1297 – Återställa försäkringar till drifttillstånd Manuell, inaktiverad 1.0.0

Identifiering och autentisering

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 IA-1 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för identifiering och autentisering CMA_C1299 – Granska och uppdatera principer och procedurer för identifiering och autentisering Manuell, inaktiverad 1.0.0

Identifiering och autentisering (organisationsanvändare)

ID: NIST SP 800-53 Rev. 5 IA-2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, Inaktiverad 1.0.0
App Service appar ska använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0
Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Cognitive Services-konton kräver Azure Active Directory-identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth. Granska, neka, inaktiverad 1.0.0
Framtvinga användar unikhet CMA_0250 – Framtvinga användar unikhet Manuell, inaktiverad 1.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0
MFA ska vara aktiverat för konton med skrivbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.1
MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0
Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter CMA_0507 – Stöd för personliga verifieringsuppgifter som utfärdats av juridiska myndigheter Manuell, inaktiverad 1.0.0

Multifaktorautentisering till privilegierade konton

ID: NIST SP 800-53 Rev. 5 IA-2 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anta mekanismer för biometrisk autentisering CMA_0005 – Anta mekanismer för biometrisk autentisering Manuell, inaktiverad 1.0.0
MFA ska vara aktiverat för konton med skrivbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.1
MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0

Multifaktorautentisering till icke-privilegierade konton

ID: NIST SP 800-53 Rev. 5 IA-2 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anta mekanismer för biometrisk autentisering CMA_0005 – Anta mekanismer för biometrisk autentisering Manuell, inaktiverad 1.0.0
MFA ska aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0

Individuell autentisering med gruppautentisering

ID: NIST SP 800-53 Rev. 5 IA-2 (5) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kräv användning av enskilda autentiserare CMA_C1305 – Kräv användning av enskilda autentiserare Manuell, inaktiverad 1.0.0

Godkännande av PIV-autentiseringsuppgifter

ID: NIST SP 800-53 Rev. 5 IA-2 (12) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter CMA_0507 – Stöd för personliga verifieringsuppgifter som utfärdats av juridiska myndigheter Manuell, inaktiverad 1.0.0

Hantering av identifierare

ID: NIST SP 800-53 Rev. 5 IA-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, Inaktiverad 1.0.0
App Service appar ska använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0
Tilldela systemidentifierare CMA_0018 – Tilldela systemidentifierare Manuell, inaktiverad 1.0.0
Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Cognitive Services-konton kräver Azure Active Directory-identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth. Granska, neka, inaktiverad 1.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0
Förhindra återanvändning av identifierare för den definierade tidsperioden CMA_C1314 – Förhindra återanvändning av identifierare för den definierade tidsperioden Manuell, inaktiverad 1.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Identifiera användarstatus

ID: NIST SP 800-53 Rev. 5 IA-4 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Identifiera status för enskilda användare CMA_C1316 – Identifiera status för enskilda användare Manuell, inaktiverad 1.0.0

Autentiseringshantering

ID: NIST SP 800-53 Rev. 5 IA-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Certifikaten bör ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den längsta tid som ett certifikat kan vara giltigt i ditt nyckelvalv. audit, Audit, deny, Deny, disabled, Disabled 2.2.0-förhandsversion
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfigurationen men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
Granska Linux-datorer som inte har behörigheter för passwd-filer inställda på 0644 Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörigheter för passwd-filer är inställda på 0644 AuditIfNotExists, inaktiverad 3.0.0
Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med omvändbar kryptering AuditIfNotExists, inaktiverad 2.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om själva SSH tillhandahåller en krypterad anslutning, gör användningen av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för autentisering till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 3.0.0
Distribuera Linux-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Linux-datorer Den här principen distribuerar linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla tilldelningar av Linux-gästkonfiguration och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 3.0.0
Distribuera Windows-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Windows-datorer Den här principen distribuerar windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla tilldelningar av Windows-gästkonfiguration och måste distribueras till datorer innan någon principdefinition för Windows-gästkonfiguration används. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Upprätta typer och processer för autentisering CMA_0267 – Upprätta typer och processer för autentisering Manuell, inaktiverad 1.0.0
Upprätta procedurer för inledande autentiseringsdistribution CMA_0276 – Upprätta procedurer för inledande autentiseringsdistribution Manuell, inaktiverad 1.0.0
Implementera utbildning för att skydda autentiserare CMA_0329 – Implementera utbildning för att skydda autentiserare Manuell, inaktiverad 1.0.0
Key Vault nycklar ska ha ett utgångsdatum Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. Granska, neka, inaktiverad 1.0.2
Key Vault hemligheter ska ha ett utgångsdatum Hemligheter ska ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger utgångsdatum för hemligheter. Granska, neka, inaktiverad 1.0.2
Hantera livslängd och återanvändning av autentiserare CMA_0355 – Hantera autentiseringslivslängd och återanvändning Manuell, inaktiverad 1.0.0
Hantera autentiserare CMA_C1321 – Hantera autentiserare Manuell, inaktiverad 1.0.0
Uppdatera autentiserare CMA_0425 – Uppdatera autentiserare Manuell, inaktiverad 1.0.0
Återutgivningsautentiserare för ändrade grupper och konton CMA_0426 – Återutentisera autentiserare för ändrade grupper och konton Manuell, inaktiverad 1.0.0
Verifiera identiteten innan du distribuerar autentiserare CMA_0538 – Verifiera identiteten innan du distribuerar autentiserare Manuell, inaktiverad 1.0.0

Lösenordsbaserad autentisering

ID: NIST SP 800-53 Rev. 5 IA-5 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfigurationen men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 4.0.0
Granska Linux-datorer som inte har behörigheter för passwd-filer inställda på 0644 Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörigheter för passwd-filer är inställda på 0644 AuditIfNotExists, inaktiverad 3.0.0
Granska Windows-datorer som tillåter återanvändning av de tidigare 24 lösenorden Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av de tidigare 24 lösenorden AuditIfNotExists, inaktiverad 2.0.0
Granska Windows-datorer som inte har en maximal lösenordsålder på 70 dagar Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har en högsta lösenordsålder på 70 dagar AuditIfNotExists, inaktiverad 2.0.0
Granska Windows-datorer som inte har en minsta lösenordsålder på 1 dag Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har en lägsta lösenordsålder på 1 dag AuditIfNotExists, inaktiverad 2.0.0
Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad AuditIfNotExists, inaktiverad 2.0.0
Granska Windows-datorer som inte begränsar minsta längd på lösenord till 14 tecken Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till 14 tecken AuditIfNotExists, inaktiverad 2.0.0
Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med omvändbar kryptering AuditIfNotExists, inaktiverad 2.0.0
Distribuera Linux-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Linux-datorer Den här principen distribuerar linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla tilldelningar av Linux-gästkonfiguration och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 3.0.0
Distribuera Windows-gästkonfigurationstillägget så att du aktiverar tilldelning av gästkonfigurationer på virtuella Windows-datorer Den här principen distribuerar windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla tilldelningar av Windows-gästkonfiguration och måste distribueras till datorer innan någon principdefinition för Windows-gästkonfiguration används. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt Manuell, inaktiverad 1.0.0
Upprätta en lösenordsprincip CMA_0256 – Upprätta en lösenordsprincip Manuell, inaktiverad 1.0.0
Implementera parametrar för memorerade hemliga verifierare CMA_0321 – Implementera parametrar för memorerad hemlighetsverifierare Manuell, inaktiverad 1.0.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.0.0

Offentlig nyckelbaserad autentisering

ID: NIST SP 800-53 Rev. 5 IA-5 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Binda autentiserare och identiteter dynamiskt CMA_0035 – Bind autentisering och identiteter dynamiskt Manuell, inaktiverad 1.0.0
Upprätta typer och processer för autentisering CMA_0267 – Upprätta typer och processer för autentisering Manuell, inaktiverad 1.0.0
Upprätta parametrar för att söka efter hemliga autentiserare och verifierare CMA_0274 – Upprätta parametrar för sökning efter hemliga autentiserare och verifierare Manuell, inaktiverad 1.0.0
Upprätta procedurer för inledande autentiseringsdistribution CMA_0276 – Upprätta procedurer för inledande autentiseringsdistribution Manuell, inaktiverad 1.0.0
Mappa autentiserade identiteter till individer CMA_0372 – Mappa autentiserade identiteter till individer Manuell, inaktiverad 1.0.0
Begränsa åtkomsten till privata nycklar CMA_0445 – Begränsa åtkomsten till privata nycklar Manuell, inaktiverad 1.0.0
Verifiera identiteten innan du distribuerar autentiserare CMA_0538 – Verifiera identiteten innan du distribuerar autentiserare Manuell, inaktiverad 1.0.0

Skydd av autentiserare

ID: NIST SP 800-53 Rev. 5 IA-5 (6) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Se till att behöriga användare skyddar tillhandahållna autentiserare CMA_C1339 – Se till att behöriga användare skyddar tillhandahållna autentiserare Manuell, inaktiverad 1.0.0

Inga inbäddade okrypterade statiska autentiseringar

ID: NIST SP 800-53 Rev. 5 IA-5 (7) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera att det inte finns några okrypterade statiska autentiserare CMA_C1340 – Se till att det inte finns några okrypterade statiska autentiserare Manuell, inaktiverad 1.0.0

Förfallodatum för cachelagrade autentiserare

ID: NIST SP 800-53 Rev. 5 IA-5 (13) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Framtvinga upphörande av cachelagrade autentiserare CMA_C1343 – Framtvinga upphörande av cachelagrade autentiseringar Manuell, inaktiverad 1.0.0

Feedback om autentisering

ID: NIST SP 800-53 Rev. 5 IA-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dölj feedbackinformation under autentiseringsprocessen CMA_C1344 – Dölj feedbackinformation under autentiseringsprocessen Manuell, inaktiverad 1.0.0

Kryptografisk modulautentisering

ID: NIST SP 800-53 Rev. 5 IA-7 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Autentisera till kryptografisk modul CMA_0021 – Autentisera till kryptografisk modul Manuell, inaktiverad 1.0.0

Identifiering och autentisering (icke-organisationsanvändare)

ID: NIST SP 800-53 Rev. 5 IA-8 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Identifiera och autentisera icke-organisationsanvändare CMA_C1346 – Identifiera och autentisera icke-organisationsanvändare Manuell, inaktiverad 1.0.0

Godkännande av PIV-autentiseringsuppgifter från andra byråer

ID: NIST SP 800-53 Rev. 5 IA-8 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Acceptera PIV-autentiseringsuppgifter CMA_C1347 – Acceptera PIV-autentiseringsuppgifter Manuell, inaktiverad 1.0.0

Godkännande av externa autentiserare

ID: NIST SP 800-53 Rev. 5 IA-8 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Acceptera endast FICAM-godkända autentiseringsuppgifter från tredje part CMA_C1348 – Acceptera endast FICAM-godkända autentiseringsuppgifter från tredje part Manuell, inaktiverad 1.0.0

Användning av definierade profiler

ID: NIST SP 800-53 Rev. 5 IA-8 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassa dig till FICAM-utfärdade profiler CMA_C1350 – Överensstämmer med FICAM-utfärdade profiler Manuell, inaktiverad 1.0.0

Incidenthantering

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 IR-1 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för incidenthantering CMA_C1352 – Granska och uppdatera principer och procedurer för incidenthantering Manuell, inaktiverad 1.0.0

Incidenthanteringsträning

ID: NIST SP 800-53 Rev. 5 IR-2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillhandahålla informationsspillträning CMA_0413 – Tillhandahålla utbildning om informationsspill Manuell, inaktiverad 1.0.0

Simulerade händelser

ID: NIST SP 800-53 Rev. 5 IR-2 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Införliva simulerade händelser i incidenthanteringsträning CMA_C1356 – Införliva simulerade händelser i incidenthanteringsträning Manuell, inaktiverad 1.0.0

Automatiserade träningsmiljöer

ID: NIST SP 800-53 Rev. 5 IR-2 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda en automatiserad träningsmiljö CMA_C1357 – Använda automatiserad träningsmiljö Manuell, inaktiverad 1.0.0

Incidenthanteringstestning

ID: NIST SP 800-53 Rev. 5 IR-3 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra incidenthanteringstestning CMA_0060 – Utföra incidenthanteringstestning Manuell, inaktiverad 1.0.0
Upprätta ett informationssäkerhetsprogram CMA_0263 – Upprätta ett informationssäkerhetsprogram Manuell, inaktiverad 1.0.0
Köra simuleringsattacker CMA_0486 – Köra simuleringsattacker Manuell, inaktiverad 1.0.0

ID: NIST SP 800-53 Rev. 5 IR-3 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra incidenthanteringstestning CMA_0060 – Utföra incidenthanteringstestning Manuell, inaktiverad 1.0.0
Upprätta ett informationssäkerhetsprogram CMA_0263 – Upprätta ett informationssäkerhetsprogram Manuell, inaktiverad 1.0.0
Köra simuleringsattacker CMA_0486 – Köra simuleringsattacker Manuell, inaktiverad 1.0.0

Incidenthantering

ID: NIST SP 800-53 Rev. 5 IR-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utvärdera informationssäkerhetshändelser CMA_0013 – Utvärdera informationssäkerhetshändelser Manuell, inaktiverad 1.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalvskonton. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, Inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Samordna beredskapsplaner med relaterade planer CMA_0086 – Samordna beredskapsplaner med relaterade planer Manuell, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.0.0
Utveckla säkerhetsskydd CMA_0161 – Utveckla säkerhetsskydd Manuell, inaktiverad 1.0.0
Email meddelande för aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer. AuditIfNotExists, Inaktiverad 1.0.1
Email meddelande till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, Inaktiverad 2.0.0
Aktivera nätverksskydd CMA_0238 – Aktivera nätverksskydd Manuell, inaktiverad 1.0.0
Utrota förorenad information CMA_0253 – Utrota förorenad information Manuell, inaktiverad 1.0.0
Köra åtgärder som svar på informationsutsläpp CMA_0281 – Köra åtgärder som svar på informationsutsläpp Manuell, inaktiverad 1.0.0
Implementera incidenthantering CMA_0318 – Implementera incidenthantering Manuell, inaktiverad 1.0.0
Underhålla en plan för incidenthantering CMA_0352 – Underhålla en plan för incidenthantering Manuell, inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och Kubernetes-miljöer med flera moln. AuditIfNotExists, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.0.0
Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem För att säkerställa att relevanta personer i organisationen meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1
Visa och undersöka begränsade användare CMA_0545 – Visa och undersöka begränsade användare Manuell, inaktiverad 1.0.0

Automatiserade processer för incidenthantering

ID: NIST SP 800-53 Rev. 5 IR-4 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.0.0
Aktivera nätverksskydd CMA_0238 – Aktivera nätverksskydd Manuell, inaktiverad 1.0.0
Implementera incidenthantering CMA_0318 – Implementera incidenthantering Manuell, inaktiverad 1.0.0

Dynamisk omkonfiguration

ID: NIST SP 800-53 Rev. 5 IR-4 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Inkludera dynamisk omkonfiguration av kunddistribuerade resurser CMA_C1364 – Inkludera dynamisk omkonfiguration av kunddistribuerade resurser Manuell, inaktiverad 1.0.0

Verksamhetskontinuitet

ID: NIST SP 800-53 Rev. 5 IR-4 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Identifiera klasser av incidenter och åtgärder som vidtas CMA_C1365 – Identifiera klasser av incidenter och åtgärder som vidtas Manuell, inaktiverad 1.0.0

Informationskorrelation

ID: NIST SP 800-53 Rev. 5 IR-4 (4) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera incidenthantering CMA_0318 – Implementera incidenthantering Manuell, inaktiverad 1.0.0

Insiderhot

ID: NIST SP 800-53 Rev. 5 IR-4 (6) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera incidenthanteringsfunktion CMA_C1367 – Implementera incidenthanteringsfunktion Manuell, inaktiverad 1.0.0

Korrelation med externa organisationer

ID: NIST SP 800-53 Rev. 5 IR-4 (8) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Samordna med externa organisationer för att uppnå ett övergripande organisationsperspektiv CMA_C1368 – Samordna med externa organisationer för att uppnå ett övergripande organisationsperspektiv Manuell, inaktiverad 1.0.0

Incidentövervakning

ID: NIST SP 800-53 Rev. 5 IR-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalvskonton. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, Inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Email meddelande för aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer. AuditIfNotExists, Inaktiverad 1.0.1
Email meddelande till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, Inaktiverad 2.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, Inaktiverad 1.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, Inaktiverad 1.0.1

Automatiserad rapportering

ID: NIST SP 800-53 Rev. 5 IR-6 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera säkerhetsåtgärder CMA_0202 – Dokumentera säkerhetsåtgärder Manuell, inaktiverad 1.0.0

ID: NIST SP 800-53 Rev. 5 IR-6 (2) Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Email meddelande om aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för varningar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.0.1
Email meddelande till prenumerationsägaren om aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns ett potentiellt säkerhetsintrång i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem För att säkerställa att relevanta personer i organisationen meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Hjälp med incidenthantering

ID: NIST SP 800-53 Rev. 5 IR-7 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera säkerhetsåtgärder CMA_0202 – Dokumentera säkerhetsåtgärder Manuell, inaktiverad 1.0.0

Automation-stöd för tillgänglighet för information och support

ID: NIST SP 800-53 Rev. 5 IR-7 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.0.0
Aktivera nätverksskydd CMA_0238 – Aktivera nätverksskydd Manuell, inaktiverad 1.0.0
Utrota förorenad information CMA_0253 – Utrota förorenad information Manuell, inaktiverad 1.0.0
Köra åtgärder som svar på informationsutsläpp CMA_0281 – Köra åtgärder som svar på informationsutsläpp Manuell, inaktiverad 1.0.0
Implementera incidenthantering CMA_0318 – Implementera incidenthantering Manuell, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.0.0
Visa och undersöka begränsade användare CMA_0545 – Visa och undersöka begränsade användare Manuell, inaktiverad 1.0.0

Samordning med externa leverantörer

ID: NIST SP 800-53 Rev. 5 IR-7 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Upprätta en relation mellan incidenthanteringsfunktionen och externa leverantörer CMA_C1376 – Upprätta en relation mellan incidenthanteringskapacitet och externa leverantörer Manuell, inaktiverad 1.0.0
Identifiera personal för incidenthantering CMA_0301 – Identifiera personal för incidenthantering Manuell, inaktiverad 1.0.0

Plan för incidenthantering

ID: NIST SP 800-53 Rev. 5 IR-8 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utvärdera informationssäkerhetshändelser CMA_0013 – Utvärdera informationssäkerhetshändelser Manuell, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.0.0
Implementera incidenthantering CMA_0318 – Implementera incidenthantering Manuell, inaktiverad 1.0.0
Underhålla dataintrångsposter CMA_0351 – Underhålla dataintrångsposter Manuell, inaktiverad 1.0.0
Underhålla en plan för incidenthantering CMA_0352 – Underhålla en plan för incidenthantering Manuell, inaktiverad 1.0.0
Skydda planen för incidenthantering CMA_0405 – Skydda planen för incidenthantering Manuell, inaktiverad 1.0.0

Svar på informationsspill

ID: NIST SP 800-53 Rev. 5 IR-9 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personalen om informationsspill Manuell, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.0.0
Utrota förorenad information CMA_0253 – Utrota förorenad information Manuell, inaktiverad 1.0.0
Köra åtgärder som svar på informationsspill CMA_0281 – Köra åtgärder som svar på informationsutsläpp Manuell, inaktiverad 1.0.0
Identifiera förorenade system och komponenter CMA_0300 – Identifiera förorenade system och komponenter Manuell, inaktiverad 1.0.0
Identifiera spilld information CMA_0303 – Identifiera spilld information Manuell, inaktiverad 1.0.0
Isolera informationsspill CMA_0346 – Isolera informationsspill Manuell, inaktiverad 1.0.0

Utbildning

ID: NIST SP 800-53 Rev. 5 IR-9 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillhandahålla informationsspillträning CMA_0413 – Tillhandahålla utbildning om informationsspill Manuell, inaktiverad 1.0.0

Åtgärder efter spill

ID: NIST SP 800-53 Rev. 5 IR-9 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla svarsförfaranden för spill CMA_0162 – Utveckla åtgärder för spill Manuell, inaktiverad 1.0.0

Exponering för obehörig personal

ID: NIST SP 800-53 Rev. 5 IR-9 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla säkerhetsskydd CMA_0161 – Utveckla säkerhetsskydd Manuell, inaktiverad 1.0.0

Underhåll

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 MA-1 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för systemunderhåll CMA_C1395 – Granska och uppdatera principer och procedurer för systemunderhåll Manuell, inaktiverad 1.0.0

Kontrollerat underhåll

ID: NIST SP 800-53 Rev. 5 MA-2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera underhålls- och reparationsaktiviteter CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter Manuell, inaktiverad 1.0.0
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0
Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter Manuell, inaktiverad 1.0.0

Automatiserade underhållsaktiviteter

ID: NIST SP 800-53 Rev. 5 MA-2 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Automatisera fjärrunderhållsaktiviteter CMA_C1402 – Automatisera fjärrunderhållsaktiviteter Manuell, inaktiverad 1.0.0
Skapa fullständiga poster för fjärrunderhållsaktiviteter CMA_C1403 – Skapa fullständiga register över fjärrunderhållsaktiviteter Manuell, inaktiverad 1.0.0

Underhållsverktyg

ID: NIST SP 800-53 Rev. 5 MA-3 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera underhålls- och reparationsaktiviteter CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter Manuell, inaktiverad 1.0.0
Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter Manuell, inaktiverad 1.0.0

Granska verktyg

ID: NIST SP 800-53 Rev. 5 MA-3 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera underhålls- och reparationsaktiviteter CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter Manuell, inaktiverad 1.0.0
Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter Manuell, inaktiverad 1.0.0

Granska media

ID: NIST SP 800-53 Rev. 5 MA-3 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera underhålls- och reparationsaktiviteter CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter Manuell, inaktiverad 1.0.0
Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter Manuell, inaktiverad 1.0.0

Förhindra obehörig borttagning

ID: NIST SP 800-53 Rev. 5 MA-3 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera underhålls- och reparationsaktiviteter CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter Manuell, inaktiverad 1.0.0
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0
Hantera aktiviteter för icke-lokaliserat underhåll och diagnostik CMA_0364 – Hantera aktiviteter för olokalt underhåll och diagnostik Manuell, inaktiverad 1.0.0

Ej lokaliserat underhåll

ID: NIST SP 800-53 Rev. 5 MA-4 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Hantera aktiviteter för icke-lokaliserat underhåll och diagnostik CMA_0364 – Hantera aktiviteter för olokalt underhåll och diagnostik Manuell, inaktiverad 1.0.0

Jämförbar säkerhet och sanitering

ID: NIST SP 800-53 Rev. 5 MA-4 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra allt icke-lokalt underhåll CMA_C1417 – Utför allt icke-lokalt underhåll Manuell, inaktiverad 1.0.0

Kryptografiskt skydd

ID: NIST SP 800-53 Rev. 5 MA-4 (6) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera kryptografiska mekanismer CMA_C1419 – Implementera kryptografiska mekanismer Manuell, inaktiverad 1.0.0

Underhållspersonal

ID: NIST SP 800-53 Rev. 5 MA-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utse personal som ska övervaka obehöriga underhållsaktiviteter CMA_C1422 – Utse personal som ska övervaka obehöriga underhållsaktiviteter Manuell, inaktiverad 1.0.0
Underhålla en lista över auktoriserade fjärrunderhållspersonal CMA_C1420 – Underhålla en lista över auktoriserade fjärrunderhållspersonal Manuell, inaktiverad 1.0.0
Hantera underhållspersonal CMA_C1421 – Hantera underhållspersonal Manuell, inaktiverad 1.0.0

Individer utan lämplig åtkomst

ID: NIST SP 800-53 Rev. 5 MA-5 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Tidsunderhåll

ID: NIST SP 800-53 Rev. 5 MA-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Ge stöd för underhåll i tid CMA_C1425 – Ge stöd för underhåll i tid Manuell, inaktiverad 1.0.0

Medieskydd

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 MP-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för medieskydd CMA_C1427 – Granska och uppdatera principer och procedurer för medieskydd Manuell, inaktiverad 1.0.0

Media Access

ID: NIST SP 800-53 Rev. 5 MP-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Mediemarkering

ID: NIST SP 800-53 Rev. 5 MP-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Medielagring

ID: NIST SP 800-53 Rev. 5 MP-4 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Medietransport

ID: NIST SP 800-53 Rev. 5 MP-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0
Hantera transport av tillgångar CMA_0370 – Hantera transport av tillgångar Manuell, inaktiverad 1.0.0

Mediesanering

ID: NIST SP 800-53 Rev. 5 MP-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Granska, godkänna, spåra, dokumentera och verifiera

ID: NIST SP 800-53 Rev. 5 MP-6 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Utrustningstestning

ID: NIST SP 800-53 Rev. 5 MP-6 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0

Medieanvändning

ID: NIST SP 800-53 Rev. 5 MP-7 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Blockera obetrodda och osignerade processer som körs via USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.0.0
Kontrollera användningen av bärbara lagringsenheter CMA_0083 – Styra användningen av bärbara lagringsenheter Manuell, inaktiverad 1.0.0
Implementera kontroller för att skydda alla media CMA_0314 – Implementera kontroller för att skydda alla media Manuell, inaktiverad 1.0.0
Begränsa medieanvändning CMA_0450 – Begränsa medieanvändning Manuell, inaktiverad 1.0.0

Fysiskt och miljöskydd

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 PE-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera fysiska och miljömässiga principer och procedurer CMA_C1446 – Granska och uppdatera fysiska och miljömässiga principer och förfaranden Manuell, inaktiverad 1.0.0

Auktoriseringar för fysisk åtkomst

ID: NIST SP 800-53 Rev. 5 PE-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.0.0

Fysisk Access Control

ID: NIST SP 800-53 Rev. 5 PE-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.0.0
Definiera en process för hantering av fysiska nycklar CMA_0115 – Definiera en process för hantering av fysiska nycklar Manuell, inaktiverad 1.0.0
Upprätta och underhålla en tillgångsinventering CMA_0266 – Upprätta och underhålla en tillgångsinventering Manuell, inaktiverad 1.0.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Access Control för överföring

ID: NIST SP 800-53 Rev. 5 PE-4 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.0.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Access Control för utdataenheter

ID: NIST SP 800-53 Rev. 5 PE-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.0.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.0.0

Intrångslarm och övervakningsutrustning

ID: NIST SP 800-53 Rev. 5 PE-6 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Installera ett larmsystem CMA_0338 – Installera ett larmsystem Manuell, inaktiverad 1.0.0
Hantera ett säkert övervakningskamerasystem CMA_0354 – Hantera ett säkert övervakningskamerasystem Manuell, inaktiverad 1.0.0

Åtkomstposter för besökare

ID: NIST SP 800-53 Rev. 5 PE-8 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.0.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Nödbelysning

ID: NIST SP 800-53 Rev. 5 PE-12 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda automatisk nödbelysning CMA_0209 – Använda automatisk nödbelysning Manuell, inaktiverad 1.0.0

Brandskydd

ID: NIST SP 800-53 Rev. 5 PE-13 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Identifieringssystem ??? Automatisk aktivering och avisering

ID: NIST SP 800-53 Rev. 5 PE-13 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera en metod för intrångstestning CMA_0306 – Implementera en metod för intrångstestning Manuell, inaktiverad 1.0.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0
Köra simuleringsattacker CMA_0486 – Köra simuleringsattacker Manuell, inaktiverad 1.0.0

Dämpningssystem ??? Automatisk aktivering och avisering

ID: NIST SP 800-53 Rev. 5 PE-13 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Miljökontroller

ID: NIST SP 800-53 Rev. 5 PE-14 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Övervakning med larm och meddelanden

ID: NIST SP 800-53 Rev. 5 PE-14 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0
Installera ett larmsystem CMA_0338 – Installera ett larmsystem Manuell, inaktiverad 1.0.0

Skydd mot vattenskador

ID: NIST SP 800-53 Rev. 5 PE-15 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Leverans och borttagning

ID: NIST SP 800-53 Rev. 5 PE-16 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera krav för att hantera tillgångar CMA_0125 – Definiera krav för att hantera tillgångar Manuell, inaktiverad 1.0.0
Hantera transport av tillgångar CMA_0370 – Hantera transport av tillgångar Manuell, inaktiverad 1.0.0

Alternativ arbetswebbplats

ID: NIST SP 800-53 Rev. 5 PE-17 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera kontroller för att skydda alternativa arbetswebbplatser CMA_0315 – Implementera kontroller för att skydda alternativa arbetswebbplatser Manuell, inaktiverad 1.0.0

Plats för systemkomponenter

ID: NIST SP 800-53 Rev. 5 PE-18 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.0.0

Planering

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 PL-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera planeringsprinciper och procedurer CMA_C1491 – Granska och uppdatera planeringsprinciper och procedurer Manuell, inaktiverad 1.0.0

Systemsäkerhets- och sekretessplaner

ID: NIST SP 800-53 Rev. 5 PL-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla och upprätta en systemsäkerhetsplan CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan Manuell, inaktiverad 1.0.0
Utveckla principer och procedurer för informationssäkerhet CMA_0158 – Utveckla principer och procedurer för informationssäkerhet Manuell, inaktiverad 1.0.0
Utveckla SSP som uppfyller kriterierna CMA_C1492 – Utveckla SSP som uppfyller kriterier Manuell, inaktiverad 1.0.0
Upprätta ett sekretessprogram CMA_0257 – Upprätta ett sekretessprogram Manuell, inaktiverad 1.0.0
Upprätta säkerhetskrav för tillverkning av anslutna enheter CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter Manuell, inaktiverad 1.0.0
Implementera säkerhetstekniska principer för informationssystem CMA_0325 – Implementera säkerhetstekniska principer för informationssystem Manuell, inaktiverad 1.0.0

Regler för beteende

ID: NIST SP 800-53 Rev. 5 PL-4 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla principer och procedurer för godtagbar användning CMA_0143 – Utveckla principer och procedurer för godtagbar användning Manuell, inaktiverad 1.0.0
Utveckla en policy för organisationens uppförandekod CMA_0159 – Utveckla organisationens policy för uppförandekod Manuell, inaktiverad 1.0.0
Dokumentera personalens godkännande av sekretesskrav CMA_0193 – Dokumentera personalens godkännande av sekretesskrav Manuell, inaktiverad 1.0.0
Framtvinga regler för beteende och åtkomstavtal CMA_0248 – Framtvinga regler för beteende och åtkomstavtal Manuell, inaktiverad 1.0.0
Förhindra illojala metoder CMA_0396 – Förbjuda illojala metoder Manuell, inaktiverad 1.0.0
Granska och signera ändrade beteenderegler CMA_0465 – Granska och signera ändrade beteenderegler Manuell, inaktiverad 1.0.0
Uppdatera informationssäkerhetsprinciper CMA_0518 – Uppdatera säkerhetsprinciper för information Manuell, inaktiverad 1.0.0
Uppdatera regler för beteende och åtkomstavtal CMA_0521 – Uppdatera regler för beteende och åtkomstavtal Manuell, inaktiverad 1.0.0
Uppdatera regler för beteende och åtkomstavtal vart tredje år CMA_0522 – Uppdatera regler för beteende och åtkomstavtal vart tredje år Manuell, inaktiverad 1.0.0

Användningsbegränsningar för sociala medier och externa webbplatser/program

ID: NIST SP 800-53 Rev. 5 PL-4 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla principer och procedurer för godtagbar användning CMA_0143 – Utveckla principer och procedurer för godtagbar användning Manuell, inaktiverad 1.0.0

Säkerhets- och sekretessarkitekturer

ID: NIST SP 800-53 Rev. 5 PL-8 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utveckla ett verksamhetskoncept (CONOPS) CMA_0141 – Utveckla ett verksamhetskoncept (CONOPS) Manuell, inaktiverad 1.0.0
Granska och uppdatera informationssäkerhetsarkitekturen CMA_C1504 – Granska och uppdatera informationssäkerhetsarkitekturen Manuell, inaktiverad 1.0.0

Personalsäkerhet

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 PS-1 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera personalsäkerhetsprinciper och -procedurer CMA_C1507 – Granska och uppdatera personalsäkerhetsprinciper och -procedurer Manuell, inaktiverad 1.0.0

Position riskbeteckning

ID: NIST SP 800-53 Rev. 5 PS-2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tilldela riskbeteckningar CMA_0016 – Tilldela riskbeteckningar Manuell, inaktiverad 1.0.0

Personalkontroll

ID: NIST SP 800-53 Rev. 5 PS-3 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Rensa personal med åtkomst till sekretessbelagd information CMA_0054 – Rensa personal med tillgång till sekretessbelagda uppgifter Manuell, inaktiverad 1.0.0
Implementera personalgallring CMA_0322 – Implementera personalkontroll Manuell, inaktiverad 1.0.0
Omskärma individer med en definierad frekvens CMA_C1512 – Skärma om individer med en definierad frekvens Manuell, inaktiverad 1.0.0

Information som kräver särskilda skyddsåtgärder

ID: NIST SP 800-53 Rev. 5 PS-3 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.0.0

Personalavslut

ID: NIST SP 800-53 Rev. 5 PS-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Genomför utträdesintervju vid uppsägning CMA_0058 - Genomför exitintervju vid uppsägning Manuell, inaktiverad 1.0.0
Inaktivera autentiserare vid avslutning CMA_0169 – Inaktivera autentiserare vid avslutning Manuell, inaktiverad 1.0.0
Meddela vid uppsägning eller överföring CMA_0381 – Meddela vid uppsägning eller överföring Manuell, inaktiverad 1.0.0
Skydda mot och förhindra datastöld från avgående anställda CMA_0398 – Skydda mot och förhindra datastöld från avgående anställda Manuell, inaktiverad 1.0.0
Behåll avslutade användardata CMA_0455 – Behåll avslutade användardata Manuell, inaktiverad 1.0.0

Automatiserade åtgärder

ID: NIST SP 800-53 Rev. 5 PS-4 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Automatisera meddelanden om uppsägning av medarbetare CMA_C1521 – Automatisera meddelanden om uppsägning av medarbetare Manuell, inaktiverad 1.0.0

Personalöverföring

ID: NIST SP 800-53 Rev. 5 PS-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Initiera överförings- eller omtilldelningsåtgärder CMA_0333 – Initiera överförings- eller omtilldelningsåtgärder Manuell, inaktiverad 1.0.0
Ändra åtkomstauktoriseringar vid personalöverföring CMA_0374 – Ändra åtkomstauktoriseringar vid personalöverföring Manuell, inaktiverad 1.0.0
Meddela vid avslutning eller överföring CMA_0381 – Meddela vid uppsägning eller överföring Manuell, inaktiverad 1.0.0
Utvärdera åtkomsten på nytt vid personalöverföring CMA_0424 – Omvärdera åtkomst vid personalöverföring Manuell, inaktiverad 1.0.0

Åtkomstavtal

ID: NIST SP 800-53 Rev. 5 PS-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera organisationens åtkomstavtal CMA_0192 – Dokumentera organisationens åtkomstavtal Manuell, inaktiverad 1.0.0
Framtvinga regler för beteende och åtkomstavtal CMA_0248 – Framtvinga regler för beteende och åtkomstavtal Manuell, inaktiverad 1.0.0
Se till att åtkomstavtal undertecknas eller sägs upp i tid CMA_C1528 – Se till att åtkomstavtal undertecknas eller sägs upp i tid Manuell, inaktiverad 1.0.0
Kräv att användare signerar åtkomstavtal CMA_0440 – Kräv att användare signerar åtkomstavtal Manuell, inaktiverad 1.0.0
Uppdatera organisationens åtkomstavtal CMA_0520 – Uppdatera organisationens åtkomstavtal Manuell, inaktiverad 1.0.0

Extern personalsäkerhet

ID: NIST SP 800-53 Rev. 5 PS-7 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dokumentera säkerhetskrav för tredje part CMA_C1531 – Dokumentera säkerhetskrav för tredje part Manuell, inaktiverad 1.0.0
Upprätta säkerhetskrav för tredjepartspersonal CMA_C1529 – Upprätta säkerhetskrav för tredje part Manuell, inaktiverad 1.0.0
Övervaka tredjepartsleverantörsefterlevnad CMA_C1533 – Övervaka tredjepartsleverantörsefterlevnad Manuell, inaktiverad 1.0.0
Kräv meddelande om överföring eller uppsägning av personal från tredje part CMA_C1532 – Kräv meddelande om överföring eller uppsägning från tredje part Manuell, inaktiverad 1.0.0
Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal CMA_C1530 – Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal Manuell, inaktiverad 1.0.0

Personalsanktioner

ID: NIST SP 800-53 Rev. 5 PS-8 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera formell sanktionsprocess CMA_0317 – Implementera formell sanktionsprocess Manuell, inaktiverad 1.0.0
Meddela personalen om sanktioner CMA_0380 – Meddela personalen om sanktioner Manuell, inaktiverad 1.0.0

Riskbedömning

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 RA-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för riskbedömning CMA_C1537 – Granska och uppdatera principer och procedurer för riskbedömning Manuell, inaktiverad 1.0.0

Säkerhetskategorisering

ID: NIST SP 800-53 Rev. 5 RA-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kategorisera information CMA_0052 – Kategorisera information Manuell, inaktiverad 1.0.0
Utveckla klassificeringsscheman för företag CMA_0155 – Utveckla klassificeringssystem för företag Manuell, inaktiverad 1.0.0
Se till att säkerhetskategorisering har godkänts CMA_C1540 – Se till att säkerhetskategorisering godkänns Manuell, inaktiverad 1.0.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.0.0

Riskbedömning

ID: NIST SP 800-53 Rev. 5 RA-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra riskbedömning CMA_C1543 – Utföra riskbedömning Manuell, inaktiverad 1.0.0
Genomför riskbedömning och distribuera resultaten CMA_C1544 – Genomföra riskbedömning och distribuera resultaten Manuell, inaktiverad 1.0.0
Utföra riskbedömning och dokumentera resultaten CMA_C1542 – Genomföra riskbedömning och dokumentera resultaten Manuell, inaktiverad 1.0.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.0.0

Övervakning och genomsökning av säkerhetsrisker

ID: NIST SP 800-53 Rev. 5 RA-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning bör vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig del av varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå inkluderar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
Azure Defender för App Service bör vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet i DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Key Vault bör vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Resource Manager bör vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, Inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Containerregisteravbildningar bör lösa sårbarhetsresultat Sårbarhetsbedömning av containeravbildningar söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. AuditIfNotExists, Inaktiverad 2.0.1
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, Inaktiverad 1.0.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.0.0
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, Inaktiverad 4.0.0
SQL-servrar på datorer bör få sårbarhetsresultat lösta SQL:s sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, Inaktiverad 1.0.0
Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. AuditIfNotExists, Inaktiverad 3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas Granska operativsystemets säkerhetsrisker på dina VM-skalningsuppsättningar för att skydda dem mot attacker. AuditIfNotExists, Inaktiverad 3.0.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, Inaktiverad 1.0.1
Sårbarhetsbedömning ska aktiveras på dina SQL-servrar Granska Azure SQL servrar som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, Inaktiverad 2.0.0
Sårbarhetsbedömning ska aktiveras på dina Synapse-arbetsytor Identifiera, spåra och åtgärda potentiella säkerhetsrisker genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på dina Synapse-arbetsytor. AuditIfNotExists, Inaktiverad 1.0.0

Uppdatera sårbarheter som ska genomsökas

ID: NIST SP 800-53 Rev. 5 RA-5 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.0.0

Bredd och djup för täckning

ID: NIST SP 800-53 Rev. 5 RA-5 (3) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.0.0

Identifierbar information

ID: NIST SP 800-53 Rev. 5 RA-5 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Vidta åtgärder som svar på kundinformation CMA_C1554 – Vidta åtgärder som svar på kundinformation Manuell, inaktiverad 1.0.0

Privilegierad åtkomst

ID: NIST SP 800-53 Rev. 5 RA-5 (5) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera privilegierad åtkomst för körning av sårbarhetsgenomsökningsaktiviteter CMA_C1555 – Implementera privilegierad åtkomst för körning av sårbarhetsgenomsökningsaktiviteter Manuell, inaktiverad 1.0.0

Automatiserade trendanalyser

ID: NIST SP 800-53 Rev. 5 RA-5 (6) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Observera och rapportera säkerhetsbrister CMA_0384 – Observera och rapportera säkerhetsbrister Manuell, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.0.0
Modellera hot CMA_0392 – Utföra hotmodellering Manuell, inaktiverad 1.0.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.0.0

Granska historiska granskningsloggar

ID: NIST SP 800-53 Rev. 5 RA-5 (8) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.0.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.0.0
Korrelera granskningsposter CMA_0087 – Korrelera granskningsposter Manuell, inaktiverad 1.0.0
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.0.0
Upprätta krav för granskningsgranskning och rapportering CMA_0277 – Upprätta krav för granskningsgranskning och rapportering Manuell, inaktiverad 1.0.0
Integrera granskning, analys och rapportering CMA_0339 – Integrera granskningsgranskning, analys och rapportering Manuell, inaktiverad 1.0.0
Integrera molnappsäkerhet med en siem CMA_0340 – Integrera cloud app security med en siem Manuell, inaktiverad 1.0.0
Granska kontoetableringsloggar CMA_0460 – Granska kontoetableringsloggar Manuell, inaktiverad 1.0.0
Granska administratörstilldelningar varje vecka CMA_0461 – Granska administratörstilldelningar varje vecka Manuell, inaktiverad 1.0.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.0.0
Granska översikten över molnidentitetsrapport CMA_0468 – Översikt över molnidentitetsrapport Manuell, inaktiverad 1.0.0
Granska kontrollerade mappåtkomsthändelser CMA_0471 – Granska kontrollerade mappåtkomsthändelser Manuell, inaktiverad 1.0.0
Granska händelser för exploateringsskydd CMA_0472 – Granska händelser för exploateringsskydd Manuell, inaktiverad 1.0.0
Granska fil- och mappaktivitet CMA_0473 – Granska fil- och mappaktivitet Manuell, inaktiverad 1.0.0
Granska ändringar i rollgrupper varje vecka CMA_0476 – Granska ändringar i rollgrupper varje vecka Manuell, inaktiverad 1.0.0

Korrelera genomsökningsinformation

ID: NIST SP 800-53 Rev. 5 RA-5 (10) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Korrelera information om sårbarhetsskanning CMA_C1558 – Korrelera information om sårbarhetssökning Manuell, inaktiverad 1.0.0

Förvärv av system och tjänster

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 SA-1 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för system- och tjänsteförvärv CMA_C1560 – Granska och uppdatera principer och procedurer för system- och tjänsteförvärv Manuell, inaktiverad 1.0.0

Allokering av resurser

ID: NIST SP 800-53 Rev. 5 SA-2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassa affärsmål och IT-mål CMA_0008 – Anpassa affärsmål och IT-mål Manuell, inaktiverad 1.0.0
Allokera resurser för att fastställa informationssystemkrav CMA_C1561 – Allokera resurser för att fastställa informationssystemkrav Manuell, inaktiverad 1.0.0
Upprätta en diskret radpost i budgetdokumentationen CMA_C1563 – Upprätta en diskret radpost i budgeteringsdokumentationen Manuell, inaktiverad 1.0.0
Upprätta ett sekretessprogram CMA_0257 – Upprätta ett sekretessprogram Manuell, inaktiverad 1.0.0
Styra allokeringen av resurser CMA_0293 – Styra allokeringen av resurser Manuell, inaktiverad 1.0.0
Säkra engagemang från ledningen CMA_0489 – Säkra engagemang från ledningen Manuell, inaktiverad 1.0.0

Livscykel för systemutveckling

ID: NIST SP 800-53 Rev. 5 SA-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera roller och ansvarsområden för informationssäkerhet CMA_C1565 – Definiera roller och ansvarsområden för informationssäkerhet Manuell, inaktiverad 1.0.0
Identifiera indviduals med säkerhetsroller och ansvarsområden CMA_C1566 – Identifiera indviduals med säkerhetsroller och ansvarsområden Manuell, inaktiverad 1.0.0
Integrera riskhanteringsprocessen i SDLC CMA_C1567 – Integrera riskhanteringsprocessen i SDLC Manuell, inaktiverad 1.0.0

Förvärvsprocess

ID: NIST SP 800-53 Rev. 5 SA-4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Fastställa leverantörskontraktsförpliktelser CMA_0140 – Fastställa leverantörsavtalsförpliktelser Manuell, inaktiverad 1.0.0
Kriterier för godkännande av dokumentförvärvskontrakt CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt Manuell, inaktiverad 1.0.0
Dokumentskydd av personuppgifter i förvärvsavtal CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal Manuell, inaktiverad 1.0.0
Dokumentera skydd av säkerhetsinformation i förvärvsavtal CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal Manuell, inaktiverad 1.0.0
Dokumentkrav för användning av delade data i kontrakt CMA_0197 – Dokumentkrav för användning av delade data i kontrakt Manuell, inaktiverad 1.0.0
Dokumentera säkerhetskrav i förvärvskontrakt CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt Manuell, inaktiverad 1.0.0
Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt Manuell, inaktiverad 1.0.0
Dokumentera funktionskrav för säkerhet i förvärvskontrakt CMA_0201 – Dokumentera funktionskrav för säkerhet i förvärvskontrakt Manuell, inaktiverad 1.0.0
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt Manuell, inaktiverad 1.0.0
Dokumentera informationssystemmiljön i förvärvskontrakt CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt Manuell, inaktiverad 1.0.0
Dokumentera skyddet av korthållardata i kontrakt från tredje part CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt Manuell, inaktiverad 1.0.0

Funktionsegenskaper för kontroller

ID: NIST SP 800-53 Rev. 5 SA-4 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Hämta funktionella egenskaper för säkerhetskontroller CMA_C1575 – Hämta funktionella egenskaper för säkerhetskontroller Manuell, inaktiverad 1.0.0

Design- och implementeringsinformation för kontroller

ID: NIST SP 800-53 Rev. 5 SA-4 (2) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Hämta design- och implementeringsinformation för säkerhetskontrollerna CMA_C1576 – Hämta design- och implementeringsinformation för säkerhetskontrollerna Manuell, inaktiverad 1.0.0

Kontinuerlig övervakningsplan för kontroller

ID: NIST SP 800-53 Rev. 5 SA-4 (8) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Hämta en kontinuerlig övervakningsplan för säkerhetskontroller CMA_C1577 – Hämta en plan för kontinuerlig övervakning för säkerhetskontroller Manuell, inaktiverad 1.0.0

Funktioner, portar, protokoll och tjänster som används

ID: NIST SP 800-53 Rev. 5 SA-4 (9) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kräv att utvecklaren identifierar SDLC-portar, protokoll och tjänster CMA_C1578 – Kräv att utvecklaren identifierar SDLC-portar, protokoll och tjänster Manuell, inaktiverad 1.0.0

Användning av godkända PIV-produkter

ID: NIST SP 800-53 Rev. 5 SA-4 (10) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda FIPS 201-godkänd teknik för PIV CMA_C1579 – Använda FIPS 201-godkänd teknik för PIV Manuell, inaktiverad 1.0.0

Systemdokumentation

ID: NIST SP 800-53 Rev. 5 SA-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Distribuera informationssystemdokumentation CMA_C1584 – Distribuera informationssystemdokumentation Manuell, inaktiverad 1.0.0
Dokumentera kunddefinierade åtgärder CMA_C1582 – Dokumentera kunddefinierade åtgärder Manuell, inaktiverad 1.0.0
Hämta dokumentation om Admin CMA_C1580 – Hämta dokumentation om Admin Manuell, inaktiverad 1.0.0
Hämta dokumentation om användarsäkerhetsfunktionen CMA_C1581 – Hämta dokumentation om användarsäkerhetsfunktioner Manuell, inaktiverad 1.0.0
Skydda administratörs- och användardokumentation CMA_C1583 – Skydda administratörs- och användardokumentation Manuell, inaktiverad 1.0.0

Externa systemtjänster

ID: NIST SP 800-53 Rev. 5 SA-9 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Definiera och dokumentera myndighetstillsyn CMA_C1587 – Definiera och dokumentera myndighetstillsyn Manuell, inaktiverad 1.0.0
Kräv att externa tjänstleverantörer uppfyller säkerhetskrav CMA_C1586 – Kräv att externa tjänstleverantörer uppfyller säkerhetskrav Manuell, inaktiverad 1.0.0
Granska molntjänstleverantörens efterlevnad av principer och avtal CMA_0469 – Granska molntjänstleverantörens efterlevnad av principer och avtal Manuell, inaktiverad 1.0.0
Genomgå oberoende säkerhetsgranskning CMA_0515 – Genomgå oberoende säkerhetsgranskning Manuell, inaktiverad 1.0.0

Riskbedömningar och organisationsgodkännanden

ID: NIST SP 800-53 Rev. 5 SA-9 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utvärdera risker i relationer från tredje part CMA_0014 – Utvärdera risker i relationer från tredje part Manuell, inaktiverad 1.0.0
Få godkännanden för förvärv och outsourcing CMA_C1590 - Få godkännanden för förvärv och outsourcing Manuell, inaktiverad 1.0.0

Identifiering av funktioner, portar, protokoll och tjänster

ID: NIST SP 800-53 Rev. 5 SA-9 (2) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Identifiera externa tjänstleverantörer CMA_C1591 – Identifiera externa tjänstleverantörer Manuell, inaktiverad 1.0.0

Konsekventa intressen för konsumenter och leverantörer

ID: NIST SP 800-53 Rev. 5 SA-9 (4) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Se till att externa leverantörer konsekvent uppfyller kundernas intressen CMA_C1592 – Se till att externa leverantörer konsekvent uppfyller kundernas intressen Manuell, inaktiverad 1.0.0

Bearbetning, lagring och tjänstplats

ID: NIST SP 800-53 Rev. 5 SA-9 (5) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Begränsa platsen för informationsbearbetning, lagring och tjänster CMA_C1593 – Begränsa platsen för informationsbearbetning, lagring och tjänster Manuell, inaktiverad 1.0.0

Konfigurationshantering för utvecklare

ID: NIST SP 800-53 Rev. 5 SA-10 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Åtgärda säkerhetsrisker för kodning CMA_0003 – Åtgärda säkerhetsrisker för kodning Manuell, inaktiverad 1.0.0
Utveckla och dokumentera programsäkerhetskrav CMA_0148 – Utveckla och dokumentera programsäkerhetskrav Manuell, inaktiverad 1.0.0
Dokumentera informationssystemmiljön i förvärvskontrakt CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt Manuell, inaktiverad 1.0.0
Upprätta ett säkert program för programutveckling CMA_0259 – Upprätta ett säkert program för programutveckling Manuell, inaktiverad 1.0.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.0.0
Kräv att utvecklare dokumenterar godkända ändringar och potentiell påverkan CMA_C1597 – Kräv att utvecklare dokumenterar godkända ändringar och potentiell påverkan Manuell, inaktiverad 1.0.0
Kräv att utvecklare endast implementerar godkända ändringar CMA_C1596 – Kräv att utvecklare endast implementerar godkända ändringar Manuell, inaktiverad 1.0.0
Kräv att utvecklare hanterar ändringsintegritet CMA_C1595 – Kräv att utvecklare hanterar ändringsintegritet Manuell, inaktiverad 1.0.0

Verifiering av integritet för programvara och inbyggd programvara

ID: NIST SP 800-53 Rev. 5 SA-10 (1) Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Verifiera programvara, inbyggd programvara och informationsintegritet CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet Manuell, inaktiverad 1.0.0

Testning och utvärdering av utvecklare

ID: NIST SP 800-53 Rev. 5 SA-11 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.0.0
Kräv att utvecklare genererar bevis för körning av säkerhetsutvärderingsplan CMA_C1602 – Kräv att utvecklare genererar bevis på körning av säkerhetsutvärderingsplan Manuell, inaktiverad 1.0.0

Utvecklingsprocess, standarder och verktyg

ID: NIST SP 800-53 Rev. 5 SA-15 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska utvecklingsprocessen, standarder och verktyg CMA_C1610 – Granska utvecklingsprocessen, standarder och verktyg Manuell, inaktiverad 1.0.0

Utbildning som tillhandahålls av utvecklare

ID: NIST SP 800-53 Rev. 5 SA-16 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kräv att utvecklare tillhandahåller utbildning CMA_C1611 – Kräv att utvecklare tillhandahåller utbildning Manuell, inaktiverad 1.0.0

Arkitektur och design för utvecklares säkerhet och sekretess

ID: NIST SP 800-53 Rev. 5 SA-17 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kräv att utvecklare skapar säkerhetsarkitektur CMA_C1612 – Kräv att utvecklare skapar säkerhetsarkitektur Manuell, inaktiverad 1.0.0
Kräv att utvecklare beskriver korrekta säkerhetsfunktioner CMA_C1613 – Kräv att utvecklare beskriver korrekta säkerhetsfunktioner Manuell, inaktiverad 1.0.0
Kräv att utvecklare tillhandahåller en enhetlig säkerhetsskyddsmetod CMA_C1614 – Kräv att utvecklare tillhandahåller en enhetlig säkerhetsskyddsmetod Manuell, inaktiverad 1.0.0

System- och kommunikationsskydd

Principer och procedurer

ID: NIST SP 800-53 Rev. 5 SC-1 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för system- och kommunikationsskydd CMA_C1616 – Granska och uppdatera principer och procedurer för system- och kommunikationsskydd Manuell, inaktiverad 1.0.0

Separation av system- och användarfunktioner

ID: NIST SP 800-53 Rev. 5 SC-2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Auktorisera fjärråtkomst CMA_0024 – Auktorisera fjärråtkomst Manuell, inaktiverad 1.0.0
Separata funktioner för hantering av användar- och informationssystem CMA_0493 – Separata funktioner för hantering av användar- och informationssystem Manuell, inaktiverad 1.0.0
Använda dedikerade datorer för administrativa uppgifter CMA_0527 – Använda dedikerade datorer för administrativa uppgifter Manuell, inaktiverad 1.0.0

Isolering av säkerhetsfunktion

ID: NIST SP 800-53 Rev. 5 SC-3 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Slutpunktsskyddslösningen bör installeras på VM-skalningsuppsättningar Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. AuditIfNotExists, Inaktiverad 3.0.0
Övervaka slutpunktsskydd som saknas i Azure Security Center Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används vid attacker mot skadlig kod samtidigt som företag kan balansera sina säkerhetsrisk- och produktivitetskrav (endast Windows). AuditIfNotExists, inaktiverad 2.0.0

Överbelastningsskydd

ID: NIST SP 800-53 Rev. 5 SC-5 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure DDoS Protection Standard ska vara aktiverat DDoS-skyddsstandarden ska vara aktiverad för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, inaktiverad 3.0.0
Azure Web Application Firewall bör vara aktiverat för Startpunkter för Azure Front Door Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Utveckla och dokumentera en DDoS-svarsplan CMA_0147 – Utveckla och dokumentera en DDoS-svarsplan Manuell, inaktiverad 1.0.0
IP-vidarebefordring på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordring på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Resurstillgänglighet

ID: NIST SP 800-53 Rev. 5 SC-6 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Styra allokeringen av resurser CMA_0293 – Styra allokeringen av resurser Manuell, inaktiverad 1.0.0
Hantera tillgänglighet och kapacitet CMA_0356 – Hantera tillgänglighet och kapacitet Manuell, inaktiverad 1.0.0
Säkra engagemang från ledningen CMA_0489 – Säkra engagemang från ledningen Manuell, inaktiverad 1.0.0

Gränsskydd

ID: NIST SP 800-53 Rev. 5 SC-7 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-förhandsversion
[Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault Privat länk är ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger skydd på djupet mot dataexfiltrering. Granska, neka, inaktiverad 1.1.0-förhandsversion
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data, men det kan innebära säkerhetsrisker. För att förhindra dataintrång som orsakas av oöndred anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto såvida inte ditt scenario kräver det. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-förhandsversion
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och ger rekommendationer om regler för nätverkssäkerhetsgrupper som minskar risken för angrepp AuditIfNotExists, inaktiverad 3.0.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är kopplade till den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från intervallen "Alla" eller "Internet". Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
API Management tjänster ska använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera din API Management-tjänst i ett icke-Internet-dirigerbart nätverk som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras så att de är tillgängliga antingen från Internet eller endast inom det virtuella nätverket. Granskning, inaktiverad 1.0.1
App Configuration bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Auktoriserade IP-intervall ska definieras på Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1
Azure API för FHIR bör använda privat länk Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan få säker åtkomst till resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. Granskning, inaktiverad 1.0.0
Azure Cache for Redis bör använda private link Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive Search-tjänsten ska använda en SKU som stöder privat länk Med SKU:er som stöds av Azure Cognitive Search kan du Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster bör inaktivera åtkomst till offentligt nätverk Inaktivering av offentlig nätverksåtkomst förbättrar säkerheten genom att säkerställa att din Azure Cognitive Search-tjänst inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.0
Azure Cosmos DB-konton bör ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.0.0
Azure Data Factory bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid domäner ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid ämnen bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till event grid-ämnet i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda private link Genom att skapa en privat slutpunkt för den angivna storage sync service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Om du skapar en privat slutpunkt på egen hand inaktiveras inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverad Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan sedan konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 3.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granska, neka, inaktiverad 1.1.0
Azure Service Bus namnområden ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service resurs i stället för hela tjänsten minskar du riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse arbetsytor ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse arbetsyta minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web Application Firewall bör vara aktiverat för Startpunkter för Azure Front Door Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Azure Web PubSub Service ska använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Din Azure Web PubSub-tjänst kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. Granskning, inaktiverad 1.0.0
Cognitive Services-konton bör inaktivera åtkomst till offentligt nätverk Inaktivering av offentlig nätverksåtkomst förbättrar säkerheten genom att se till att Cognitive Services-kontot inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av Cognitive Services-kontot. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2129800. Granska, neka, inaktiverad 3.0.0
Cognitive Services-konton bör begränsa nätverksåtkomsten Nätverksåtkomsten till Cognitive Services-konton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Cognitive Services-kontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet. Granska, neka, inaktiverad 3.0.0
Cognitive Services bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har några konfigurerade nätverksregler visas det i de resurser som inte är felfria. Läs mer om Container Registry-nätverksregler här: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network och https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnrymder bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnrymder minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Implementera systemgränsskydd CMA_0328 – Implementera systemgränsskydd Manuell, inaktiverad 1.0.0
Internetuppkopplade virtuella datorer bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer mot potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IoT Hub instanser av enhetsetableringstjänsten ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub enhetsetableringstjänst minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
IP-vidarebefordring på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordring på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar exponerar den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Icke-Internetanslutna virtuella datorer bör skyddas med nätverkssäkerhetsgrupper Skydda dina icke-Internetuppkopplade virtuella datorer mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Åtkomst till offentligt nätverk på Azure SQL-databas bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att se till att din Azure SQL-databas endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Åtkomst till offentligt nätverk bör inaktiveras för MariaDB-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomsten till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en prioriterad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Mallar för VM Image Builder bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina VM Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Granska, inaktiverad, neka 1.1.0
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Åtkomstpunkter

ID: NIST SP 800-53 Rev. 5 SC-7 (3) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-förhandsversion
[Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault Privat länk är ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger skydd på djupet mot dataexfiltrering. Granska, neka, inaktiverad 1.1.0-förhandsversion
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data, men det kan innebära säkerhetsrisker. För att förhindra dataintrång som orsakas av oöndred anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto såvida inte ditt scenario kräver det. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-förhandsversion
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och ger rekommendationer om regler för nätverkssäkerhetsgrupper som minskar risken för angrepp AuditIfNotExists, inaktiverad 3.0.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är kopplade till den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från intervallen "Alla" eller "Internet". Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
API Management tjänster ska använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera din API Management-tjänst i ett icke-Internet-dirigerbart nätverk som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras så att de är tillgängliga antingen från Internet eller endast inom det virtuella nätverket. Granskning, inaktiverad 1.0.1
App Configuration bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Auktoriserade IP-intervall ska definieras på Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1
Azure API för FHIR bör använda privat länk Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan få säker åtkomst till resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. Granskning, inaktiverad 1.0.0
Azure Cache for Redis bör använda private link Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive Search-tjänsten ska använda en SKU som stöder privat länk Med SKU:er som stöds av Azure Cognitive Search kan du Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen private link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster bör inaktivera åtkomst till offentligt nätverk Inaktivering av offentlig nätverksåtkomst förbättrar säkerheten genom att säkerställa att din Azure Cognitive Search-tjänst inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive Search tjänster ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.0
Azure Cosmos DB-konton bör ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.0.0
Azure Data Factory bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid domäner ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid ämnen bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till event grid-ämnet i stället för hela tjänsten skyddas du även mot risker med dataläckage. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda private link Genom att skapa en privat slutpunkt för den angivna storage sync service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Om du skapar en privat slutpunkt på egen hand inaktiveras inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverad Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan sedan konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 3.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granska, neka, inaktiverad 1.1.0
Azure Service Bus namnområden ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse arbetsytor ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse arbetsyta minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Azure Web PubSub Service bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. Granskning, inaktiverad 1.0.0
Cognitive Services-konton bör inaktivera åtkomst till offentligt nätverk Inaktivering av offentlig nätverksåtkomst förbättrar säkerheten genom att se till att Cognitive Services-kontot inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för Cognitive Services-kontot. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2129800. Granska, neka, inaktiverad 3.0.0
Cognitive Services-konton bör begränsa nätverksåtkomsten Nätverksåtkomsten till Cognitive Services-konton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Cognitive Services-kontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet. Granska, neka, inaktiverad 3.0.0
Cognitive Services bör använda privat länk Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregistrets nätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna över Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer mot potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
IoT Hub instanser av enhetsetableringstjänsten bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub enhetsetableringstjänst minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, Inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Eventuell JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker tvinga fram autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, Inaktiverad 3.0.0
Icke-internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Åtkomst till offentligt nätverk på Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att din Azure SQL-databas endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför AzureS IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Offentlig nätverksåtkomst bör inaktiveras för MySQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför AzureS IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en prioriterad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till undernätet. AuditIfNotExists, Inaktiverad 3.0.0
Vm Image Builder-mallar ska använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till dina VM Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Granska, inaktiverad, neka 1.1.0
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Externa telekommunikationstjänster

ID: NIST SP 800-53 Rev. 5 SC-7 (4) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera hanterat gränssnitt för varje extern tjänst CMA_C1626 – Implementera hanterat gränssnitt för varje extern tjänst Manuell, inaktiverad 1.0.0
Implementera systemgränsskydd CMA_0328 – Implementera systemgränsskydd Manuell, inaktiverad 1.0.0
Skydda gränssnittet för externa system CMA_0491 – Skydda gränssnittet för externa system Manuell, inaktiverad 1.0.0

Delade tunnlar för fjärrenheter

ID: NIST SP 800-53 Rev. 5 SC-7 (7) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Förhindra delade tunnlar för fjärranslutna enheter CMA_C1632 – Förhindra delade tunnlar för fjärrenheter Manuell, inaktiverad 1.0.0

Dirigera trafik till autentiserade proxyservrar

ID: NIST SP 800-53 Rev. 5 SC-7 (8) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Dirigera trafik via autentiserat proxynätverk CMA_C1633 – Dirigera trafik via autentiserat proxynätverk Manuell, inaktiverad 1.0.0

Värdbaserat skydd

ID: NIST SP 800-53 Rev. 5 SC-7 (12) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera systemgränsskydd CMA_0328 – Implementera systemgränsskydd Manuell, inaktiverad 1.0.0

Isolering av säkerhetsverktyg, mekanismer och stödkomponenter

ID: NIST SP 800-53 Rev. 5 SC-7 (13) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Isolera SecurID-system, säkerhetsincidenthanteringssystem CMA_C1636 – Isolera SecurID-system, säkerhetsincidenthanteringssystem Manuell, inaktiverad 1.0.0

Felsäkert

ID: NIST SP 800-53 Rev. 5 SC-7 (18) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Implementera systemgränsskydd CMA_0328 – Implementera systemgränsskydd Manuell, inaktiverad 1.0.0
Hantera överföringar mellan vänteläge och aktiva systemkomponenter CMA_0371 – Hantera överföringar mellan vänteläge och aktiva systemkomponenter Manuell, inaktiverad 1.0.0

Dynamisk isolering och uppdelning

ID: NIST SP 800-53 Rev. 5 SC-7 (20) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Se till att systemet kan isolera resurser dynamiskt CMA_C1638 – Se till att systemet kan isolera resurser dynamiskt Manuell, inaktiverad 1.0.0

Isolering av systemkomponenter

ID: NIST SP 800-53 Rev. 5 SC-7 (21) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Använda gränsskydd för att isolera informationssystem CMA_C1639 – Använda gränsskydd för att isolera informationssystem Manuell, inaktiverad 1.0.0

Sekretess och integritet för överföring

ID: NIST SP 800-53 Rev. 5 SC-8 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar ska endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, neka 3.0.0
App Service appar ska endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
App Service appar ska använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, inaktiverad 2.0.0
Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under överföringen. Granska, neka, inaktiverad 1.0.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, neka 4.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, inaktiverad 2.0.0
Kubernetes-kluster ska endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 8.0.0
Endast säkra anslutningar till din Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL för att Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med hjälp av kryptering Manuell, inaktiverad 1.0.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.0.0
Säker överföring till lagringskonton ska vara aktiverat Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Windows-webbservrar bör konfigureras för att använda protokoll för säker kommunikation För att skydda sekretessen för information som förmedlas via Internet bör dina webbservrar använda den senaste versionen av det branschstandardmässiga kryptografiska protokollet Transport Layer Security (TLS). TLS skyddar kommunikationen över ett nätverk med hjälp av säkerhetscertifikat för att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 4.0.0

Kryptografiskt skydd

ID: NIST SP 800-53 Rev. 5 SC-8 (1) Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar ska endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, neka 3.0.0
App Service appar ska endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar ska använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, Inaktiverad 2.0.0
Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring åtgärdar problem med missbruk och manipulering under överföringen. Granska, neka, inaktiverad 1.0.0
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.0.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Azure Database for MySQL-servern till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, neka 4.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, Inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, Inaktiverad 2.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och som förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 8.0.0
Endast säkra anslutningar till din Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL för att Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Säker överföring till lagringskonton ska vara aktiverat Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Windows-webbservrar bör konfigureras för att använda protokoll för säker kommunikation För att skydda sekretessen för information som kommuniceras via Internet bör dina webbservrar använda den senaste versionen av branschstandarden för kryptografiprotokollet Transport Layer Security (TLS). TLS skyddar kommunikationen via ett nätverk med hjälp av säkerhetscertifikat för att kryptera en anslutning mellan datorer. AuditIfNotExists, Inaktiverad 4.0.0

Koppla från nätverk

ID: NIST SP 800-53 Rev. 5 SC-10 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Autentisera om eller avsluta en användarsession CMA_0421 – Autentisera eller avsluta en användarsession igen Manuell, inaktiverad 1.0.0

Kryptografisk nyckeletablering och hantering

ID: NIST SP 800-53 Rev. 5 SC-12 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. Granska, neka, inaktiverad 1.0.0-förhandsversion
[Förhandsversion]: IoT Hub data för enhetsetableringstjänsten ska krypteras med hjälp av kundhanterade nycklar (CMK) Använd kundhanterade nycklar för att hantera krypteringen i resten av IoT Hub enhetsetableringstjänsten. Data krypteras automatiskt i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Läs mer om CMK-kryptering på https://aka.ms/dps/CMK. Granska, neka, inaktiverad 1.0.0-förhandsversion
Azure API för FHIR bör använda en kundhanterad nyckel för att kryptera vilande data Använd en kundhanterad nyckel för att styra krypteringen i resten av de data som lagras i Azure API för FHIR när detta är ett regel- eller efterlevnadskrav. Kundhanterade nycklar levererar också dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardvärdet som görs med tjänsthanterade nycklar. audit, Audit, disabled, Disabled 1.1.0
Azure Automation konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure Automation-konton. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/automation-cmk. Granska, neka, inaktiverad 1.0.0
Azure Batch konto ska använda kundhanterade nycklar för att kryptera data Använd kundhanterade nycklar för att hantera krypteringen i resten av Batch-kontots data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/Batch-CMK. Granska, neka, inaktiverad 1.0.1
Azure Container Instance-containergruppen bör använda kundhanterad nyckel för kryptering Skydda dina containrar med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Användning av kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller kryptografiskt radera data. Granska, inaktiverad, neka 1.0.0
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Data Box-jobb bör använda en kundhanterad nyckel för att kryptera enhetens upplåsningslösenord Använd en kundhanterad nyckel för att styra krypteringen av enhetens upplåsningslösenord för Azure Data Box. Kundhanterade nycklar hjälper också till att hantera åtkomsten till enhetens upplåsningslösenord av Data Box-tjänsten för att förbereda enheten och kopiera data på ett automatiserat sätt. Data på själva enheten är redan krypterade i vila med Avancerad kryptering Standard 256-bitarskryptering, och lösenordet för enhetens upplåsning krypteras som standard med en Microsoft-hanterad nyckel. Granska, neka, inaktiverad 1.0.0
Azure Data Explorer kryptering i vila bör använda en kundhanterad nyckel Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i ditt Azure Data Explorer-kluster får du ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen är ofta tillämplig för kunder med särskilda efterlevnadskrav och kräver en Key Vault för att hantera nycklarna. Granska, neka, inaktiverad 1.0.0
Azure-datafabriker ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Data Factory. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/adf-cmk. Granska, neka, inaktiverad 1.0.1
Azure HDInsight-kluster bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure HDInsight-kluster. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/hdi.cmk. Granska, neka, inaktiverad 1.0.1