Azure İlkesi yerleşik ilke tanımları
Bu sayfa, Azure İlkesi yerleşik ilke tanımlarının dizinidir.
Azure portalındaki ilke tanımına her yerleşik bağlantının adı. Kaynağı Azure İlkesi GitHub deposunda görüntülemek için Kaynak sütunundaki bağlantıyı kullanın. Yerleşik öğeler meta verilerdeki kategori özelliğine göre gruplandırılır. Belirli bir kategoriye gitmek için tarayıcınızın arama özelliği için Ctrl-F tuşunu kullanın.
FHIR için API
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| FHIR için Azure API bekleyen verileri şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Bu bir mevzuat veya uyumluluk gereksinimi olduğunda FHIR için Azure API'de depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla yapılan varsayılanın üzerine ikinci bir şifreleme katmanı ekleyerek de çift şifreleme sağlar. | denetim, Denetim, devre dışı, Devre dışı | 1.1.0 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| CORS, her etki alanının FHIR için API'nize erişmesine izin vermemelidir | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının FHIR için API'nize erişmesine izin vermemelidir. FHIR için API'nizi korumak için tüm etki alanları için erişimi kaldırın ve bağlanmasına izin verilen etki alanlarını açıkça tanımlayın. | denetim, Denetim, devre dışı, Devre dışı | 1.1.0 |
API Management
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| API Management API'leri yalnızca şifrelenmiş protokoller kullanmalıdır | Aktarımdaki verilerin güvenliğini sağlamak için API'ler yalnızca HTTPS veya WSS gibi şifrelenmiş protokoller aracılığıyla kullanılabilir olmalıdır. HTTP veya WS gibi güvenli olmayan protokoller kullanmaktan kaçının. | Denetim, Devre Dışı, Reddet | 2.0.2 |
| API Arka Uçlarına API Management çağrılarının kimliği doğrulanmalıdır | API Management'tan arka uçlara yapılan çağrılar, sertifikalar veya kimlik bilgileri aracılığıyla bir tür kimlik doğrulaması kullanmalıdır. Service Fabric arka uçlarına uygulanmaz. | Denetim, Devre Dışı, Reddet | 1.0.1 |
| API arka uçlarına yapılan API Management çağrıları sertifika parmak izini veya ad doğrulamasını atlamamalıdır | API güvenliğini geliştirmek için API Management'ın tüm API çağrıları için arka uç sunucu sertifikasını doğrulaması gerekir. SSL sertifikası parmak izini ve ad doğrulamasını etkinleştirin. | Denetim, Devre Dışı, Reddet | 1.0.2 |
| API Management doğrudan yönetim uç noktası etkinleştirilmemelidir | Azure API Management'taki doğrudan yönetim REST API'si, Azure Resource Manager rol tabanlı erişim denetimi, yetkilendirme ve azaltma mekanizmalarını atlayarak hizmetinizin güvenlik açığını artırır. | Denetim, Devre Dışı, Reddet | 1.0.2 |
| API Management en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır | Hizmet gizli dizilerinin salt okunur kullanıcılarla paylaşılmasını önlemek için en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| API Management adlı gizli dizi değerleri Azure Key Vault'ta depolanmalıdır | Adlandırılmış değerler, her API Management hizmetindeki ad ve değer çiftlerinden oluşan bir koleksiyonlardır. Gizli dizi değerleri API Management'ta şifrelenmiş metin olarak (özel gizli diziler) veya Azure Key Vault'taki gizli dizilere başvurarak depolanabilir. API Management ve gizli dizilerin güvenliğini geliştirmek için Azure Key Vault'tan adlandırılmış değerlere başvurun. Azure Key Vault ayrıntılı erişim yönetimi ve gizli dizi döndürme ilkelerini destekler. | Denetim, Devre Dışı, Reddet | 1.0.2 |
| API Management hizmeti sanal ağları destekleyen bir SKU kullanmalıdır | API Management'ın desteklenen SKU'ları ile bir sanal ağa hizmet dağıtmak, gelişmiş API Management ağ ve güvenlik özelliklerinin kilidini açar ve bu da ağ güvenlik yapılandırmanız üzerinde daha fazla denetim sağlar. Daha fazla bilgi için: https://aka.ms/apimvnet. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| API Management, hizmet yapılandırma uç noktalarına genel ağ erişimini devre dışı bırakmalıdır | API Management hizmetlerinin güvenliğini artırmak için doğrudan erişim yönetimi API'si, Git yapılandırma yönetimi uç noktası veya şirket içinde barındırılan ağ geçitleri yapılandırma uç noktası gibi hizmet yapılandırma uç noktalarına bağlantıyı kısıtlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| API Management'ta kullanıcı adı ve parola kimlik doğrulaması devre dışı bırakılmalıdır | Geliştirici portalının güvenliğini daha iyi sağlamak için API Management'ta kullanıcı adı ve parola kimlik doğrulaması devre dışı bırakılmalıdır. Azure AD veya Azure AD B2C kimlik sağlayıcıları aracılığıyla kullanıcı kimlik doğrulamasını yapılandırın ve varsayılan kullanıcı adı ve parola kimlik doğrulamasını devre dışı bırakın. | Denetim, Devre Dışı | 1.0.1 |
| API Management aboneliklerinin kapsamı tüm API'ler olarak kapsamlendirilmemelidir | API Management aboneliklerinin kapsamı tüm API'ler yerine bir ürün veya tek bir API olarak belirlenmiş olmalıdır ve bu da aşırı veri kullanımına neden olabilir. | Denetim, Devre Dışı, Reddet | 1.1.0 |
| Azure API Management platform sürümü stv2 olmalıdır | Azure API Management stv1 işlem platformu sürümü 31 Ağustos 2024 tarihinden itibaren kullanımdan kaldırılacaktır ve bu örneklerin sürekli destek için stv2 işlem platformuna geçirilmesi gerekir. Daha fazla bilgi için bkz . /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| API Management genel hizmet yapılandırma uç noktalarına erişimi devre dışı bırakmak için API Management hizmetlerini yapılandırma | API Management hizmetlerinin güvenliğini artırmak için doğrudan erişim yönetimi API'si, Git yapılandırma yönetimi uç noktası veya şirket içinde barındırılan ağ geçitleri yapılandırma uç noktası gibi hizmet yapılandırma uç noktalarına bağlantıyı kısıtlayın. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Kullanıcı adı ve parola kimlik doğrulamasını devre dışı bırakmak için API Management'ı değiştirme | Geliştirici portalı kullanıcı hesaplarının ve kimlik bilgilerinin güvenliğini daha iyi sağlamak için Azure AD veya Azure AD B2C kimlik sağlayıcıları aracılığıyla kullanıcı kimlik doğrulamasını yapılandırın ve varsayılan kullanıcı adı ve parola kimlik doğrulamasını devre dışı bırakın. | Değiştir | 1.1.0 |
Uygulama Yapılandırması
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uygulama Yapılandırması genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın etkilenmesini sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Uygulama Yapılandırması müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarlar, şifreleme anahtarlarınızı yönetmenize olanak tanıyarak gelişmiş veri koruması sağlar. Bu genellikle uyumluluk gereksinimlerini karşılamak için gereklidir. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Uygulama Yapılandırması özel bağlantıyı destekleyen bir SKU kullanmalıdır | Desteklenen bir SKU kullanırken, Azure Özel Bağlantı sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması depolarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Uygulama Yapılandırması depoların yalnızca kimlik doğrulaması için Microsoft Entra kimlikleri gerektirdiğini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2161954. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| yerel kimlik doğrulama yöntemlerini devre dışı bırakmak için Uygulama Yapılandırması depolarını yapılandırma | Uygulama Yapılandırması depolarınızın yalnızca kimlik doğrulaması için Microsoft Entra kimliklerini gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2161954. | Değiştir, Devre Dışı | 1.0.1 |
| genel ağ erişimini devre dışı bırakmak için Uygulama Yapılandırması yapılandırma | Uygulama Yapılandırması için genel ağ erişimini devre dışı bırakın; böylece genel İnternet üzerinden erişilemez. Bu yapılandırma, bunların veri sızıntısı risklerine karşı korunmasına yardımcı olur. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın görünür kalmasını sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | Değiştir, Devre Dışı | 1.0.0 |
| Uygulama Yapılandırması bağlı özel uç noktalar için özel DNS bölgelerini yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Uygulama yapılandırma örneklerini çözümlemek için sanal ağınıza özel bir DNS bölgesi bağlanabilir. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Uygulama Yapılandırması için özel uç noktaları yapılandırma | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Uygulama Platformu
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Dağıtılmış izlemenin etkinleştirilmediği Azure Spring Cloud örneklerini denetleme | Azure Spring Cloud'daki dağıtılmış izleme araçları, bir uygulamadaki mikro hizmetler arasındaki karmaşık bağlantıların hata ayıklamasına ve izlenmesine olanak sağlar. Dağıtılmış izleme araçları etkin ve iyi durumda olmalıdır. | Denetim, Devre Dışı | 1.0.0-önizleme |
| Azure Spring Cloud ağ ekleme kullanmalıdır | Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. | Denetim, Devre Dışı, Reddet | 1.2.0 |
App Service
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulama yuvaları bir sanal ağa eklenmelidir | App Service Uygulamalarını sanal ağa eklemek, gelişmiş App Service ağ ve güvenlik özelliklerinin kilidini açar ve ağ güvenlik yapılandırmanız üzerinde daha fazla denetim sağlar. Daha fazla bilgi için: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| App Service uygulama yuvaları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, App Service'in genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak App Service'in açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| App Service uygulama yuvaları Azure Sanal Ağ yapılandırma yönlendirmesini etkinleştirmelidir | Varsayılan olarak, kapsayıcı görüntülerini çekme ve içerik depolamayı bağlama gibi uygulama yapılandırması bölgesel sanal ağ tümleştirmesi üzerinden yönlendirilmeyecektir. Yönlendirme seçeneklerini true olarak ayarlamak için API'nin kullanılması, Azure Sanal Ağ üzerinden yapılandırma trafiğine olanak tanır. Bu ayarlar, ağ güvenlik grupları ve kullanıcı tanımlı yollar gibi özelliklerin kullanılmasına ve hizmet uç noktalarının özel olmasını sağlar. Daha fazla bilgi için https://aka.ms/appservice-vnet-configuration-routing adresini ziyaret edin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| App Service uygulama yuvaları, RFC olmayan 1918 trafiğine Azure Sanal Ağ giden trafiği etkinleştirmelidir | Varsayılan olarak, bölgesel Azure Sanal Ağ (VNET) tümleştirmesi kullanılıyorsa uygulama yalnızca ilgili sanal ağa RFC1918 trafiği yönlendirir. 'vnetRouteAllEnabled' değerini true olarak ayarlamak için API'nin kullanılması, Azure Sanal Ağ tüm giden trafiği etkinleştirir. Bu ayar, ağ güvenlik grupları ve kullanıcı tanımlı yollar gibi özelliklerin App Service uygulamasından giden tüm trafik için kullanılmasına olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| App Service uygulama yuvalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulama yuvalarında FTP dağıtımları için yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | FTP dağıtımları için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Service yuvalarının yalnızca kimlik doğrulaması için Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| App Service uygulama yuvalarında SCM site dağıtımları için yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | SCM siteleri için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Service yuvalarının yalnızca kimlik doğrulaması için Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| App Service uygulama yuvalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| App Service uygulama yuvalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulama yuvalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulama yuvalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| App Service uygulama yuvaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulama yuvaları, içerik dizini için bir Azure dosya paylaşımı kullanmalıdır | Bir uygulamanın içerik dizini bir Azure dosya paylaşımında bulunmalıdır. Dosya paylaşımının depolama hesabı bilgileri herhangi bir yayımlama etkinliğinden önce sağlanmalıdır. App Service içeriğini barındırmak için Azure Dosyalar kullanma hakkında daha fazla bilgi edinmek için adresine https://go.microsoft.com/fwlink/?linkid=2151594bakın. | Denetim, Devre Dışı | 1.0.0 |
| App Service uygulama yuvaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulama yuvaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulama yuvaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Java kullanan App Service uygulama yuvaları belirtilen bir 'Java sürümü' kullanmalıdır | Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için App Service uygulamaları için en son Java sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke, gereksinimlerinizi karşılayan bir Java sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PHP kullanan App Service uygulama yuvaları belirtilen bir 'PHP sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla PHP yazılımı için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için App Service uygulamaları için en son PHP sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke gereksinimlerinizi karşılayan bir PHP sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Python kullanan App Service uygulama yuvaları belirtilen bir 'Python sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımı için daha yeni sürümler yayınlanıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamaları için en son Python sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke gereksinimlerinizi karşılayan bir Python sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları sanal ağa eklenmelidir | App Service Uygulamalarını sanal ağa eklemek, gelişmiş App Service ağ ve güvenlik özelliklerinin kilidini açar ve ağ güvenlik yapılandırmanız üzerinde daha fazla denetim sağlar. Daha fazla bilgi için: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| App Service uygulamaları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, App Service'in genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak App Service'in açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Denetim, Devre Dışı, Reddet | 1.1.0 |
| App Service uygulamaları Azure Sanal Ağ yapılandırma yönlendirmesini etkinleştirmelidir | Varsayılan olarak, kapsayıcı görüntülerini çekme ve içerik depolamayı bağlama gibi uygulama yapılandırması bölgesel sanal ağ tümleştirmesi üzerinden yönlendirilmeyecektir. Yönlendirme seçeneklerini true olarak ayarlamak için API'nin kullanılması, Azure Sanal Ağ üzerinden yapılandırma trafiğine olanak tanır. Bu ayarlar, ağ güvenlik grupları ve kullanıcı tanımlı yollar gibi özelliklerin kullanılmasına ve hizmet uç noktalarının özel olmasını sağlar. Daha fazla bilgi için https://aka.ms/appservice-vnet-configuration-routing adresini ziyaret edin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| App Service uygulamaları, RFC 1918 olmayan giden trafiği Azure Sanal Ağ etkinleştirmelidir | Varsayılan olarak, bölgesel Azure Sanal Ağ (VNET) tümleştirmesi kullanılıyorsa uygulama yalnızca ilgili sanal ağa RFC1918 trafiği yönlendirir. 'vnetRouteAllEnabled' değerini true olarak ayarlamak için API'nin kullanılması, Azure Sanal Ağ tüm giden trafiği etkinleştirir. Bu ayar, ağ güvenlik grupları ve kullanıcı tanımlı yollar gibi özelliklerin App Service uygulamasından giden tüm trafik için kullanılmasına olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| App Service uygulamalarında kimlik doğrulaması etkinleştirilmelidir | Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin web uygulamasına ulaşmasını engelleyebilen veya belirteçleri olan kişilerin kimliğini web uygulamasına ulaşmadan önce doğrulayan bir özelliktir. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamalarında FTP dağıtımları için yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | FTP dağıtımları için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Services'in kimlik doğrulaması için yalnızca Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| App Service uygulamalarında SCM site dağıtımları için yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | SCM siteleri için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Services'in kimlik doğrulaması için yalnızca Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| App Service uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamaları özel bağlantıyı destekleyen bir SKU kullanmalıdır | Desteklenen SKU'larla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları uygulamalara eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/private-link | Denetim, Reddetme, Devre Dışı | 4.1.0 |
| App Service uygulamaları, içerik dizini için bir Azure dosya paylaşımı kullanmalıdır | Bir uygulamanın içerik dizini bir Azure dosya paylaşımında bulunmalıdır. Dosya paylaşımının depolama hesabı bilgileri herhangi bir yayımlama etkinliğinden önce sağlanmalıdır. App Service içeriğini barındırmak için Azure Dosyalar kullanma hakkında daha fazla bilgi edinmek için adresine https://go.microsoft.com/fwlink/?linkid=2151594bakın. | Denetim, Devre Dışı | 3.0.0 |
| App Service uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamaları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları App Service'e eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/private-link | AuditIfNotExists, Devre Dışı | 1.0.1 |
| App Service uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Java kullanan App Service uygulamaları belirtilen bir 'Java sürümü' kullanmalıdır | Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için App Service uygulamaları için en son Java sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke, gereksinimlerinizi karşılayan bir Java sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 3.1.0 |
| PHP kullanan App Service uygulamaları belirtilen bir 'PHP sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla PHP yazılımı için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için App Service uygulamaları için en son PHP sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke gereksinimlerinizi karşılayan bir PHP sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Python kullanan App Service uygulamaları belirtilen bir 'Python sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımı için daha yeni sürümler yayınlanıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamaları için en son Python sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke gereksinimlerinizi karşılayan bir Python sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| App Service Ortamı uygulamalara genel İnternet üzerinden ulaşılmamalıdır | bir App Service Ortamı dağıtılan uygulamaların genel İnternet üzerinden erişilebilir olmadığından emin olmak için sanal ağda ip adresi olan App Service Ortamı dağıtmanız gerekir. IP adresini bir sanal ağ IP'sine ayarlamak için, App Service Ortamı bir iç yük dengeleyici ile dağıtılmalıdır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| App Service Ortamı en güçlü TLS Şifreleme paketleriyle yapılandırılmalıdır | App Service Ortamı düzgün çalışması için gereken en düşük ve en güçlü iki şifreleme paketi şunlardır: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ve TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Denetim, Devre Dışı | 1.0.0 |
| App Service Ortamı en son sürümlerle sağlanmalıdır | Yalnızca App Service Ortamı sürüm 2 veya sürüm 3'in sağlanmasına izin verin. App Service Ortamı'nin eski sürümleri, Azure kaynaklarının el ile yönetilmesini gerektirir ve daha fazla ölçeklendirme sınırlaması vardır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| App Service Ortamı iç şifreleme etkinleştirilmelidir | InternalEncryption değeri true olarak ayarlandığında ön uçlar ile bir App Service Ortamı içindeki çalışanlar arasındaki disk belleği dosyası, çalışan diskleri ve iç ağ trafiği şifrelenir. Daha fazla bilgi edinmek için bkz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. . | Denetim, Devre Dışı | 1.0.1 |
| App Service Ortamı TLS 1.0 ve 1.1 devre dışı bırakılmalıdır | TLS 1.0 ve 1.1, modern şifreleme algoritmalarını desteklemeyen güncel olmayan protokollerdir. Gelen TLS 1.0 ve 1.1 trafiğini devre dışı bırakmak, App Service Ortamı uygulamaların güvenliğini sağlar. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| APP Service uygulama yuvalarını FTP dağıtımları için yerel kimlik doğrulamasını devre dışı bırakmak üzere yapılandırma | FTP dağıtımları için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Service yuvalarının yalnızca kimlik doğrulaması için Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Devre Dışı | 1.0.3 |
| SCM siteleri için yerel kimlik doğrulamasını devre dışı bırakmak için App Service uygulama yuvalarını yapılandırma | SCM siteleri için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Service yuvalarının yalnızca kimlik doğrulaması için Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Devre Dışı | 1.0.3 |
| Genel ağ erişimini devre dışı bırakmak için App Service uygulama yuvalarını yapılandırma | Uygulama Hizmetlerinizin genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Değiştir, Devre Dışı | 1.1.0 |
| App Service uygulama yuvalarını yalnızca HTTPS üzerinden erişilebilir olacak şekilde yapılandırma | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Değiştir, Devre Dışı | 2.0.0 |
| Uzaktan hata ayıklamayı kapatmak için App Service uygulama yuvalarını yapılandırma | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| App Service uygulama yuvalarını en son TLS sürümünü kullanacak şekilde yapılandırma | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| App Service uygulamalarını FTP dağıtımları için yerel kimlik doğrulamasını devre dışı bırakmak üzere yapılandırma | FTP dağıtımları için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Services'in kimlik doğrulaması için yalnızca Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Devre Dışı | 1.0.3 |
| App Service uygulamalarını SCM siteleri için yerel kimlik doğrulamasını devre dışı bırakmak üzere yapılandırma | SCM siteleri için yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, App Services'in kimlik doğrulaması için yalnızca Microsoft Entra kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Devre Dışı | 1.0.3 |
| App Service uygulamalarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Uygulama Hizmetlerinizin genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Değiştir, Devre Dışı | 1.1.0 |
| App Service uygulamalarını yalnızca HTTPS üzerinden erişilebilir olacak şekilde yapılandırma | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Değiştir, Devre Dışı | 2.0.0 |
| App Service uygulamalarını uzaktan hata ayıklamayı kapatacak şekilde yapılandırma | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamalarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, bir sanal ağı App Service'e bağlar. Daha fazla bilgi için: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| App Service uygulamalarını en son TLS sürümünü kullanacak şekilde yapılandırma | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Genel ağ erişimini devre dışı bırakmak için İşlev uygulaması yuvalarını yapılandırma | İşlev uygulamalarınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Değiştir, Devre Dışı | 1.1.0 |
| İşlev uygulaması yuvalarını yalnızca HTTPS üzerinden erişilebilir olacak şekilde yapılandırma | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Değiştir, Devre Dışı | 2.0.0 |
| Uzaktan hata ayıklamayı kapatmak için İşlev uygulaması yuvalarını yapılandırma | Uzaktan hata ayıklama, bir İşlev uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| İşlev uygulaması yuvalarını en son TLS sürümünü kullanacak şekilde yapılandırma | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| İşlev uygulamalarını genel ağ erişimini devre dışı bırakmak için yapılandırma | İşlev uygulamalarınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Değiştir, Devre Dışı | 1.1.0 |
| İşlev uygulamalarını yalnızca HTTPS üzerinden erişilebilir olacak şekilde yapılandırma | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Değiştir, Devre Dışı | 2.0.0 |
| İşlev uygulamalarını uzaktan hata ayıklamayı kapatacak şekilde yapılandırma | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarını en son TLS sürümünü kullanacak şekilde yapılandırma | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| İşlev uygulaması yuvaları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, İşlev uygulamasının genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak, bir İşlev Uygulamasının görünür kalmasını sınırlayabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| İşlev uygulaması yuvalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulaması yuvalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulaması yuvalarında her kaynağın uygulamalarınıza erişmesine izin verecek şekilde CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulaması yuvalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| İşlev uygulaması yuvaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulaması yuvaları, içerik dizini için bir Azure dosya paylaşımı kullanmalıdır | İşlev uygulamasının içerik dizini bir Azure dosya paylaşımında bulunmalıdır. Dosya paylaşımının depolama hesabı bilgileri herhangi bir yayımlama etkinliğinden önce sağlanmalıdır. App Service içeriğini barındırmak için Azure Dosyalar kullanma hakkında daha fazla bilgi edinmek için adresine https://go.microsoft.com/fwlink/?linkid=2151594bakın. | Denetim, Devre Dışı | 1.0.0 |
| İşlev uygulaması yuvaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulaması yuvaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Java kullanan işlev uygulaması yuvaları belirtilen bir 'Java sürümü' kullanmalıdır | Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son Java sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke, gereksinimlerinizi karşılayan bir Java sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Python kullanan işlev uygulaması yuvaları belirtilen bir 'Python sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımı için daha yeni sürümler yayınlanıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için İşlev uygulamaları için en son Python sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke gereksinimlerinizi karşılayan bir Python sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamaları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, İşlev uygulamasının genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak, bir İşlev Uygulamasının görünür kalmasını sınırlayabilir. Daha fazla bilgi için: https://aka.ms/app-service-private-endpoint. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| İşlev uygulamalarında kimlik doğrulaması etkinleştirilmelidir | Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin İşlev uygulamasına ulaşmasını engelleyebilen veya İşlev uygulamasına ulaşmadan önce belirteçleri olan kişilerin kimliğini doğrulayan bir özelliktir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| İşlev uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamaları, içerik dizini için bir Azure dosya paylaşımı kullanmalıdır | İşlev uygulamasının içerik dizini bir Azure dosya paylaşımında bulunmalıdır. Dosya paylaşımının depolama hesabı bilgileri herhangi bir yayımlama etkinliğinden önce sağlanmalıdır. App Service içeriğini barındırmak için Azure Dosyalar kullanma hakkında daha fazla bilgi edinmek için adresine https://go.microsoft.com/fwlink/?linkid=2151594bakın. | Denetim, Devre Dışı | 3.0.0 |
| İşlev uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Java kullanan işlev uygulamaları belirtilen bir 'Java sürümü' kullanmalıdır | Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java yazılımı için düzenli aralıklarla daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son Java sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke, gereksinimlerinizi karşılayan bir Java sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Python kullanan işlev uygulamaları belirtilen bir 'Python sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımı için daha yeni sürümler yayınlanıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için İşlev uygulamaları için en son Python sürümünü kullanmanız önerilir. Bu ilke yalnızca Linux uygulamaları için geçerlidir. Bu ilke gereksinimlerinizi karşılayan bir Python sürümü belirtmenizi gerektirir. | AuditIfNotExists, Devre Dışı | 4.1.0 |
Kanıtlama
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Doğrulama sağlayıcıları genel ağ erişimini devre dışı bırakmalıdır | Azure Doğrulama Hizmeti'nin güvenliğini artırmak için genel İnternet'e sunulmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. aka.ms/azureattestation'da açıklandığı gibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Doğrulama sağlayıcıları özel uç noktaları kullanmalıdır | Özel uç noktalar, genel İnternet üzerinden trafik göndermeden Azure Doğrulama sağlayıcıları Azure kaynaklarınıza bağlamanın bir yolunu sağlar. Özel uç noktalar, genel erişimi engelleyerek istenmeyen anonim erişime karşı korumaya yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Otomatik Yönetim
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Makinelerinizde yönetilen kimlik etkinleştirilmelidir | Otomatik Yönetim tarafından yönetilen kaynakların yönetilen kimliği olmalıdır. | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Otomatik Yönetim Yapılandırma Profili Ataması Uyumlu Olmalıdır | Otomatik Yönet tarafından yönetilen kaynakların Durumu Conformant veya ConformantCorrected olmalıdır. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Sanal makinelerde Önyükleme Tanılama etkinleştirilmelidir | Azure sanal makinelerinde önyükleme diagniostics etkinleştirilmelidir. | Denetim, Devre Dışı | 1.0.0-önizleme |
| Azure Otomatik Yönetim'e eklenecek sanal makineleri yapılandırma | Azure Otomatik Yönetimi, Azure için Microsoft Bulut Benimseme Çerçevesi'nde tanımlandığı gibi en iyi yöntemle sanal makineleri kaydeder, yapılandırıp izler. Otomatik Yönet'i seçtiğiniz kapsama uygulamak için bu ilkeyi kullanın. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Özel Yapılandırma Profili ile Azure Otomatik Yönetim'e eklenecek sanal makineleri yapılandırma | Azure Otomatik Yönetimi, Azure için Microsoft Bulut Benimseme Çerçevesi'nde tanımlandığı gibi en iyi yöntemle sanal makineleri kaydeder, yapılandırıp izler. Seçtiğiniz kapsama kendi özelleştirilmiş Yapılandırma Profilinizle Otomatik Yönetim uygulamak için bu ilkeyi kullanın. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Windows Server Azure Edition VM'leri için çalışırken düzeltme eki etkinleştirilmelidir | Hotpatch ile yeniden başlatmaları en aza indirin ve güncelleştirmeleri hızla yükleyin. Daha fazla bilgi için: https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Otomasyon
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Otomasyon Hesabında Yönetilen Kimlik olmalıdır | Runbook'lardan Azure kaynaklarıyla kimlik doğrulaması için önerilen yöntem olarak Yönetilen Kimlikler'i kullanın. Kimlik doğrulaması için yönetilen kimlik daha güvenlidir ve runbook kodunuzda RunAs Hesabını kullanmayla ilişkili yönetim ek yükünü ortadan kaldırır. | Denetim, Devre Dışı | 1.0.0 |
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Otomasyon hesapları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak Otomasyon hesabı kaynaklarınızın görünür kalmasını sınırlayabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Otomasyonu hesabın yerel kimlik doğrulama yöntemi devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Otomasyonu hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini sağlayarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Otomasyonu hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Otomasyonu Hesaplarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/automation-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| yerel kimlik doğrulamasını devre dışı bırakmak için Azure Otomasyonu hesabı yapılandırma | Azure Otomasyonu hesaplarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. | Değiştir, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure Otomasyonu hesaplarını yapılandırma | Azure Otomasyonu hesabın genel İnternet üzerinden erişilmeyecek şekilde genel ağ erişimini devre dışı bırakın. Bu yapılandırma, bunların veri sızıntısı risklerine karşı korunmasına yardımcı olur. Bunun yerine özel uç noktalar oluşturarak Otomasyon hesabı kaynaklarınızın görünür kalmasını sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Değiştir, Devre Dışı | 1.0.0 |
| Özel DNS bölgeleriyle Azure Otomasyonu hesaplarını yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Azure Özel Bağlantı aracılığıyla Azure Otomasyonu hesaba bağlanmak için özel DNS bölgesinin düzgün yapılandırılmış olması gerekir. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Otomasyonu hesaplarında özel uç nokta bağlantılarını yapılandırma | Özel uç nokta bağlantıları, kaynak veya hedefte genel IP adreslerine gerek kalmadan Azure Otomasyonu hesaplarına özel bağlantı sağlayarak güvenli iletişim sağlar. adresinden Azure Otomasyonu'deki https://docs.microsoft.com/azure/automation/how-to/private-link-securityözel uç noktalar hakkında daha fazla bilgi edinin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Otomasyon Hesaplarında özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, kaynak veya hedefte genel IP adreslerine gerek kalmadan Otomasyon hesaplarına özel bağlantıyı etkinleştirerek güvenli iletişim sağlar. Azure Otomasyonu'da özel uç noktalar hakkında daha fazla bilgi için bkz.https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure Active Directory
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Active Directory Etki Alanı Hizmetleri yönetilen etki alanları yalnızca TLS 1.2 modunu kullanmalıdır | Yönetilen etki alanlarınız için yalnızca TLS 1.2 modunu kullanın. Varsayılan olarak, Azure AD Etki Alanı Hizmetleri NTLM v1 ve TLS v1 gibi şifrelemelerin kullanılmasını sağlar. Bu şifreler bazı eski uygulamalar için gerekli olabilir, ancak zayıf olarak kabul edilir ve ihtiyacınız yoksa devre dışı bırakılabilir. Yalnızca TLS 1.2 modu etkinleştirildiğinde, TLS 1.2 kullanmayan bir istekte bulunan tüm istemciler başarısız olur. https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Azure Yapay Zeka Hizmetleri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Yerel anahtar erişimini devre dışı bırakmak için Azure AI Services kaynaklarını yapılandırma (yerel kimlik doğrulamasını devre dışı bırakma) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yerel anahtar erişimini devre dışı bırakmak için Azure AI Services kaynaklarını yapılandırma (yerel kimlik doğrulamasını devre dışı bırakma) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure AI hizmetleri kaynaklarındaki tanılama günlükleri etkinleştirilmelidir | Azure AI hizmetleri kaynakları için günlükleri etkinleştirin. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure Arc
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Genişletilmiş Güvenlik Güncelleştirmeler (ESU) lisans oluşturma veya değiştirme işlemini reddedin. | Bu ilke, Windows Server 2012 Arc makineleri için ESU lisanslarının oluşturulmasını veya değiştirilmesini kısıtlamanızı sağlar. Fiyatlandırma hakkında daha fazla bilgi için lütfen ziyaret edin https://aka.ms/ArcWS2012ESUPricing | Reddet, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Windows 2012 makinelerini destek yaşam döngüleri sona erdikten sonra korumak için Genişletilmiş Güvenlik Güncelleştirmeler (ESU) lisansını etkinleştirin. | Windows 2012 makinelerini destek yaşam döngüleri sona erdikten sonra bile korumak için Genişletilmiş Güvenlik Güncelleştirmeler (ESU) lisansını etkinleştirin. AzureArc aracılığıyla Windows Server 2012 için Genişletilmiş Güvenlik Güncelleştirmeler sunmaya hazırlanmayı öğrenin. Lütfen adresini ziyaret edinhttps://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Fiyatlandırma hakkında daha fazla bilgi için lütfen ziyaret edin https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| Azure Arc Özel Bağlantı Kapsamları özel uç nokta ile yapılandırılmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Arc Özel Bağlantı Kapsamlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Arc Özel Bağlantı Kapsamları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Arc kaynaklarının genel İnternet üzerinden bağlanamamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak Azure Arc kaynaklarının açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/arc/privatelink. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Arc özellikli kubernetes kümeleri Azure Arc Özel Bağlantı Kapsamı ile yapılandırılmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Azure Arc özellikli sunucuları özel uç noktayla yapılandırılmış bir Azure Arc Özel Bağlantı Kapsamına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Arc özellikli sunucular Azure Arc Özel Bağlantı Kapsamı ile yapılandırılmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Azure Arc özellikli sunucuları özel uç noktayla yapılandırılmış bir Azure Arc Özel Bağlantı Kapsamına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure Arc Özel Bağlantı Kapsamlarını yapılandırma | İlişkili Azure Arc kaynaklarının genel İnternet üzerinden Azure Arc hizmetlerine bağlanamaması için Azure Arc Özel Bağlantı Kapsamınız için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/arc/privatelink. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Arc Özel Bağlantı Kapsamlarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Arc Özel Bağlantı Kapsamları'na çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/arc/privatelink. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Azure Arc Özel Bağlantı Kapsamlarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure Arc Özel Bağlantı Kapsamlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Azure Arc özellikli Kubernetes kümelerini Azure Arc Özel Bağlantı Kapsamı kullanacak şekilde yapılandırma | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Azure Arc özellikli sunucuları özel uç noktayla yapılandırılmış bir Azure Arc Özel Bağlantı Kapsamına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | Değiştir, Devre Dışı | 1.0.0 |
| Azure Arc özellikli sunucuları Azure Arc Özel Bağlantı Kapsamı kullanacak şekilde yapılandırma | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Azure Arc özellikli sunucuları özel uç noktayla yapılandırılmış bir Azure Arc Özel Bağlantı Kapsamına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | Değiştir, Devre Dışı | 1.0.0 |
Azure Veri Gezgini
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Veri Gezgini'da tüm Veritabanı Yönetici devre dışı bırakılmalıdır | Yüksek ayrıcalıklı/yönetici kullanıcı rolü verilmesini kısıtlamak için tüm veritabanı yöneticisi rolünü devre dışı bırakın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Veri Gezgini kümesi özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Veri Gezgini kümenize eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint | Denetim, Devre Dışı | 1.0.0 |
| Bekleyen Azure Veri Gezgini şifrelemesi müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Veri Gezgini kümenizde müşteri tarafından yönetilen bir anahtar kullanarak bekleyen şifrelemeyi etkinleştirmek, bekleyen şifreleme tarafından kullanılan anahtar üzerinde ek denetim sağlar. Bu özellik genellikle özel uyumluluk gereksinimleri olan müşteriler için geçerlidir ve anahtarları yönetmek için bir Key Vault gerektirir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Veri Gezgini özel bağlantıyı destekleyen bir SKU kullanmalıdır | Desteklenen SKU'larla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları uygulamalara eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/private-link | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Veri Gezgini kümelerini özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure Veri Gezgini'a eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için bkz. [ServiceSpecificAKA.ms]. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure Veri Gezgini yapılandırma | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure Veri Gezgini yalnızca özel bir uç noktadan erişilebileceği şekilde genel bağlantıyı kapatır. Bu yapılandırma, tüm Azure Veri Gezgini kümeleri için genel ağ erişimini devre dışı bırakır. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Veri Gezgini'de disk şifreleme etkinleştirilmelidir | Disk şifrelemesini etkinleştirmek, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Azure Veri Gezgini'da çift şifreleme etkinleştirilmelidir | Çift şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Azure Veri Gezgini genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure Veri Gezgini yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Veri Gezgini için sanal ağ ekleme etkinleştirilmelidir | Ağ güvenlik grubu kurallarını zorunlu kılmanıza, şirket içinde bağlanmanıza ve hizmet uç noktalarıyla veri bağlantı kaynaklarınızın güvenliğini sağlamanıza olanak tanıyan sanal ağ ekleme özelliğiyle ağ çevrenizin güvenliğini sağlayın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure Databricks
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Databricks Kümeleri genel IP'yi devre dışı bırakmalıdır | Azure Databricks Çalışma Alanları'nda kümelerin genel IP'sinin devre dışı bırakılması, kümelerin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Daha fazla bilgi için: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Databricks Çalışma Alanları bir sanal ağda olmalıdır | Azure Sanal Ağ, erişimi daha fazla kısıtlamak için Azure Databricks Çalışma Alanlarınıza ek olarak alt ağlar, erişim denetimi ilkeleri ve diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. Daha fazla bilgi için: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Databricks çalışma alanları, özel bağlantı, şifreleme için müşteri tarafından yönetilen anahtar gibi özellikleri destekleyen Premium SKU olmalıdır | Yalnızca kuruluşunuzun şifreleme için müşteri tarafından yönetilen anahtar Özel Bağlantı gibi özellikleri desteklemek üzere dağıtabileceği Premium Sku ile Databricks çalışma alanına izin verin. Daha fazla bilgi için: https://aka.ms/adbpe. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Databricks Çalışma Alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın açığa çıkarma durumunu denetleyebilirsiniz. Daha fazla bilgi için: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Databricks Çalışma Alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Databricks çalışma alanlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/adbpe | Denetim, Devre Dışı | 1.0.2 |
| Azure Databricks çalışma alanını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Databricks çalışma alanlarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/adbpe. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Azure Databricks Çalışma Alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure Databricks Çalışma Alanları'na eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/adbpe | DeployIfNotExists, Devre Dışı | 1.0.2 |
| Azure Databricks Çalışma Alanları için tanılama ayarlarını Log Analytics çalışma alanına yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Azure Databricks Çalışma Alanı oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics Çalışma Alanına akışla aktarmak için Azure Databricks Çalışma Alanları için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Azure Databricks Çalışma Alanları'ndaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlükleri, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmayı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Azure Edge Donanım Merkezi
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Edge Donanım Merkezi cihazlarında çift şifreleme desteği etkinleştirilmelidir | Azure Edge Donanım Merkezi'nden sipariş edilen cihazlarda bekleyen verilerin güvenliğini sağlamak için çift şifreleme desteğinin etkinleştirildiğinden emin olun. Bu seçenek ikinci bir veri şifreleme katmanı ekler. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Azure Yük Test Etme
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure yük testi kaynağı bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Yük Testi kaynağınızın bekleyen şifrelemesini yönetmek için müşteri tarafından yönetilen anahtarları (CMK) kullanın. Şifreleme varsayılan olarak Hizmet tarafından yönetilen anahtarlar kullanılarak yapılır, müşteri tarafından yönetilen anahtarlar verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure Purview
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Purview hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure Purview hesaplarınıza eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için: https://aka.ms/purview-private-link. | Denetim, Devre Dışı | 1.0.0 |
Azure Stack Edge
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Stack Edge cihazları çift şifreleme kullanmalıdır | Cihazın bekleyen verilerinin güvenliğini sağlamak için çift şifrelendiğinden, verilere erişimin denetlendiğinden ve cihaz devre dışı bırakıldıktan sonra verilerin veri disklerinden güvenli bir şekilde silindiğinden emin olun. Çift şifreleme, iki şifreleme katmanının kullanılmasıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli Bir Stack Edge cihazı için güvenlik genel bakış belgelerinde daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
Azure Güncelleştirme Yöneticisi
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Arc özellikli sunucularda eksik sistem güncelleştirmeleri için düzenli denetim yapılandırma | Azure Arc özellikli sunucularda işletim sistemi güncelleştirmeleri için otomatik değerlendirmeyi (24 saatte bir) yapılandırın. Atama kapsamını makine aboneliğine, kaynak grubuna, konuma veya etikete göre denetleyebilirsiniz. Windows için bu konuda daha fazla bilgi edinin: https://aka.ms/computevm-windowspatchassessmentmodeLinux için :https://aka.ms/computevm-linuxpatchassessmentmode. | değiştir | 2.2.1 |
| Azure sanal makinelerinde eksik sistem güncelleştirmeleri için düzenli aralıklarla denetimi yapılandırma | Yerel Azure sanal makinelerinde işletim sistemi güncelleştirmeleri için otomatik değerlendirmeyi (24 saatte bir) yapılandırın. Atama kapsamını makine aboneliğine, kaynak grubuna, konuma veya etikete göre denetleyebilirsiniz. Windows için bu konuda daha fazla bilgi edinin: https://aka.ms/computevm-windowspatchassessmentmodeLinux için :https://aka.ms/computevm-linuxpatchassessmentmode. | değiştir | 4.8.0 |
| Makineler, eksik sistem güncelleştirmelerini düzenli aralıklarla denetleyecek şekilde yapılandırılmalıdır | Eksik sistem güncelleştirmeleri için düzenli değerlendirmelerin her 24 saatte bir otomatik olarak tetiklendiğinden emin olmak için AssessmentMode özelliği 'AutomaticByPlatform' olarak ayarlanmalıdır. Windows için AssessmentMode özelliği hakkında daha fazla bilgi edinin: https://aka.ms/computevm-windowspatchassessmentmodeLinux için :https://aka.ms/computevm-linuxpatchassessmentmode. | Denetim, Reddetme, Devre Dışı | 3.7.0 |
| Azure Update Manager'ı kullanarak yinelenen güncelleştirmeleri zamanlama | Azure'daki Windows Server ve Linux makineleriniz için işletim sistemi güncelleştirmelerini Azure'da, şirket içi ortamlarda ve Azure Arc özellikli sunucular kullanılarak bağlanan diğer bulut ortamlarında yüklemek üzere yinelenen dağıtım zamanlamalarını kaydetmek için Azure'daki Azure Update Manager'ı kullanabilirsiniz. Bu ilke, Azure Sanal Makinesi için düzeltme eki modunu da 'AutomaticByPlatform' olarak değiştirir. Daha fazla bilgi edinin: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Devre Dışı | 3.10.0 |
Yedekleme
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Backup Uzantısı AKS kümelerine yüklenmelidir | Azure Backup'ı kullanmak için AKS Kümelerinizde yedekleme uzantısının koruma yüklemesini sağlayın. AKS için Azure Backup, AKS kümeleri için güvenli ve bulutta yerel bir veri koruma çözümüdür | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: AKS kümeleri için Azure Backup etkinleştirilmelidir | Azure Backup'i etkinleştirerek AKS Kümelerinizin korunmasını sağlayın. AKS için Azure Backup, AKS kümeleri için güvenli ve bulutta yerel bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Depolama Hesaplarında Bloblar için Azure Backup etkinleştirilmelidir | Azure Backup'i etkinleştirerek Depolama Hesaplarınızın korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Backup Yönetilen Diskler için etkinleştirilmelidir | Azure Backup'i etkinleştirerek Yönetilen Diskler korumasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Backup Kasaları yedekleme verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır. Ayrıca, Infra Şifrelemesini zorunlu kılma seçeneği. | Kapsamdaki Yedekleme kasaları için Şifreleme Ayarlar etkinleştirildiyse bu ilke 'efekt'i izler. Ayrıca, Backup Vault'ta Altyapı Şifrelemesi'nin de etkinleştirilip etkinleştirilmediğini denetleme seçeneği. https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk adresinden daha fazla bilgi edinin. 'Reddet' etkisi kullanıldığında kasadaki diğer güncelleştirme işlemlerinin geçmesine izin vermek için mevcut Backup Kasalarında Şifreleme Ayarlar etkinleştirmeniz gerekeceğini lütfen unutmayın. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kurtarma Hizmetleri kasaları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kurtarma hizmetleri kasasının genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak, kurtarma hizmetleri kasasının açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/AB-PublicNetworkAccess-Deny. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kurtarma Hizmetleri kasaları yedekleme verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Yedekleme verilerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/AB-CmkEncryption adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kurtarma Hizmetleri kasaları yedekleme için özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Kurtarma Hizmetleri kasalarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/AB-PrivateEndpoints | Denetim, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Genel ağ erişimini devre dışı bırakmak için Azure Kurtarma Hizmetleri kasalarını yapılandırma | Genel İnternet üzerinden erişilmemesi için Kurtarma hizmetleri kasanız için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/AB-PublicNetworkAccess-Deny. | Değiştir, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Aynı bölgedeki mevcut bir yedekleme kasasına verilen etikete sahip depolama hesaplarındaki bloblar için yedeklemeyi yapılandırma | Merkezi bir yedekleme kasasına belirli bir etiket içeren tüm depolama hesaplarında bloblar için yedeklemeyi zorunlu kılma. Bunu yapmak, büyük ölçekte birden çok depolama hesabında bulunan blobların yedeklemesini yönetmenize yardımcı olabilir. Diğer ayrıntılar için https://aka.ms/AB-BlobBackupAzPolicies adresine bakın | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-önizleme |
| [Önizleme]: Aynı bölgedeki bir yedekleme kasasına verilen etiketi içermeyen tüm depolama hesapları için blob yedeklemeyi yapılandırma | Merkezi bir yedekleme kasasına belirli bir etiket içermeyen tüm depolama hesaplarında bloblar için yedeklemeyi zorunlu kılın. Bunu yapmak, büyük ölçekte birden çok depolama hesabında bulunan blobların yedeklemesini yönetmenize yardımcı olabilir. Diğer ayrıntılar için https://aka.ms/AB-BlobBackupAzPolicies adresine bakın | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-önizleme |
| [Önizleme]: Kurtarma Hizmetleri kasalarını yedekleme için özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Kurtarma Hizmetleri kasanıza çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Kurtarma Hizmetleri kasalarını yedekleme için özel uç noktaları kullanacak şekilde yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Kurtarma Hizmetleri kasalarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Kasalarınızın özel uç nokta yapılandırmasına uygun olması için belirli önkoşulları karşılaması gerektiğini unutmayın. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kurtarma Hizmetleri kasaları için Abonelikler Arası Geri Yüklemeyi devre dışı bırakma | Geri yükleme hedeflerinin kasa aboneliğinden farklı bir abonelikte yer alamaması için Kurtarma Hizmetleri kasanız için Abonelikler Arası Geri Yüklemeyi devre dışı bırakın veya Kalıcı Olarak Dağıtın. Daha fazla bilgi için: https://aka.ms/csrenhancements. | Değiştir, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Yedekleme Kasaları için Abonelikler Arası Geri Yüklemeyi Devre Dışı Bırakma | Geri yükleme hedeflerinin kasa aboneliğinden farklı bir abonelikte yer alamaması için Backup kasanız için Abonelikler Arası Geri Yüklemeyi devre dışı bırakın veya Kalıcı Olarak Dağıtın. Daha fazla bilgi için: https://aka.ms/csrstatechange. | Değiştir, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Seçilen depolama yedekliliği kurtarma hizmetleri kasalarının oluşturulmasına izin verme. | Kurtarma Hizmetleri kasaları, günümüzde üç depolama yedekliliği seçeneğinden herhangi biriyle (yerel olarak yedekli Depolama, Alanlar arası yedekli depolama ve Coğrafi olarak yedekli depolama) oluşturulabilir. Kuruluşunuzdaki ilkeler belirli bir yedeklilik türüne ait kasaların oluşturulmasını engellemenizi gerektiriyorsa, bu Azure ilkesini kullanarak da aynı işlemi gerçekleştirebilirsiniz. | Reddet, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Yedekleme kasaları için değiştirilemezlik etkinleştirilmelidir | Bu ilke, kapsamdaki Backup kasaları için sabit kasalar özelliğinin etkinleştirilip etkinleştirilmediğini denetler. Bu, yedekleme verilerinizin amaçlanan süre dolmadan önce silinmesini engellemeye yardımcı olur. https://aka.ms/AB-ImmutableVaults adresinden daha fazla bilgi edinin. | Denetim, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Kurtarma Hizmetleri kasaları için değiştirilemezlik etkinleştirilmelidir | Bu ilke, kapsamdaki Kurtarma Hizmetleri kasaları için sabit kasalar özelliğinin etkinleştirilip etkinleştirilmediğini denetler. Bu, yedekleme verilerinizin amaçlanan süre dolmadan önce silinmesini engellemeye yardımcı olur. https://aka.ms/AB-ImmutableVaults adresinden daha fazla bilgi edinin. | Denetim, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Yedekleme Kasaları için Çok Kullanıcılı Yetkilendirme (MUA) etkinleştirilmelidir. | Bu ilke, Yedekleme Kasaları için Çok Kullanıcılı Yetkilendirme (MUA) etkinleştirilip etkinleştirilmediğini denetler. MUA, kritik işlemlere ek bir koruma katmanı ekleyerek Backup Vault'larınızın güvenliğini sağlamaya yardımcı olur. Daha fazla bilgi edinmek için https://aka.ms/mua-for-bv adresini ziyaret edin. | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kurtarma Hizmetleri Kasaları için Çok Kullanıcılı Yetkilendirme (MUA) etkinleştirilmelidir. | Bu ilke, Kurtarma Hizmetleri Kasaları için Çok Kullanıcılı Yetkilendirme (MUA) etkinleştirilip etkinleştirilmediğini denetler. MUA, kritik işlemlere ek bir koruma katmanı ekleyerek Kurtarma Hizmetleri Kasalarınızın güvenliğini sağlamaya yardımcı olur. Daha fazla bilgi edinmek için https://aka.ms/MUAforRSV adresini ziyaret edin. | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kurtarma Hizmetleri Kasaları için geçici silme etkinleştirilmelidir. | Bu ilke, kapsamdaki Kurtarma Hizmetleri Kasaları için geçici silmenin etkinleştirilip etkinleştirilmediğini denetler. Geçici silme, verilerinizi silindikten sonra bile kurtarmanıza yardımcı olabilir. https://aka.ms/AB-SoftDelete adresinden daha fazla bilgi edinin. | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Backup Kasaları için geçici silme etkinleştirilmelidir | Bu ilke, kapsamdaki Backup kasaları için geçici silmenin etkinleştirilip etkinleştirilmediğini denetler. Geçici silme, verilerinizi silindikten sonra kurtarmanıza yardımcı olabilir. Daha fazla bilgi için: https://aka.ms/AB-SoftDelete | Denetim, Devre Dışı | 1.0.0-önizleme |
| Azure Backup Sanal Makineler için etkinleştirilmelidir | Azure Backup'i etkinleştirerek Azure Sanal Makineler'nizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Belirli bir etikete sahip sanal makinelerde yedeklemeyi varsayılan ilkeyle yeni bir kurtarma hizmetleri kasasına yapılandırma | Sanal makineyle aynı konumda ve kaynak grubunda bir kurtarma hizmetleri kasası dağıtarak tüm sanal makineler için yedeklemeyi zorunlu tutun. Bunu yapmak, kuruluşunuzdaki farklı uygulama ekiplerine ayrı kaynak grupları ayrıldığında ve kendi yedeklemelerini ve geri yüklemelerini yönetmeleri gerektiğinde yararlıdır. İsteğe bağlı olarak, atama kapsamını denetlemek için belirtilen etiketi içeren sanal makineler ekleyebilirsiniz. Bkz. https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Belirli bir etikete sahip sanal makinelerde yedeklemeyi aynı konumdaki mevcut bir kurtarma hizmetleri kasasına yapılandırma | Tüm sanal makineleri sanal makineyle aynı konumda ve abonelikte mevcut bir merkezi kurtarma hizmetleri kasasına yedekleyerek yedeklemeyi zorunlu tutun. Bunu yapmak, kuruluşunuzda bir abonelikteki tüm kaynaklar için yedeklemeleri yöneten merkezi bir ekip olduğunda yararlıdır. İsteğe bağlı olarak, atama kapsamını denetlemek için belirtilen etiketi içeren sanal makineler ekleyebilirsiniz. Bkz. https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Varsayılan ilkeyle yeni bir kurtarma hizmetleri kasasına verilen etiket olmadan sanal makinelerde yedeklemeyi yapılandırma | Sanal makineyle aynı konumda ve kaynak grubunda bir kurtarma hizmetleri kasası dağıtarak tüm sanal makineler için yedeklemeyi zorunlu tutun. Bunu yapmak, kuruluşunuzdaki farklı uygulama ekiplerine ayrı kaynak grupları ayrıldığında ve kendi yedeklemelerini ve geri yüklemelerini yönetmeleri gerektiğinde yararlıdır. İsteğe bağlı olarak, atama kapsamını denetlemek için belirtilen etiketi içeren sanal makineleri dışlayabilirsiniz. Bkz. https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Belirli bir etiket olmadan sanal makinelerde yedeklemeyi aynı konumdaki mevcut bir kurtarma hizmetleri kasasına yapılandırma | Tüm sanal makineleri sanal makineyle aynı konumda ve abonelikte mevcut bir merkezi kurtarma hizmetleri kasasına yedekleyerek yedeklemeyi zorunlu tutun. Bunu yapmak, kuruluşunuzda bir abonelikteki tüm kaynaklar için yedeklemeleri yöneten merkezi bir ekip olduğunda yararlıdır. İsteğe bağlı olarak, atama kapsamını denetlemek için belirtilen etiketi içeren sanal makineleri dışlayabilirsiniz. Bkz. https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Kaynağa özgü kategoriler için Log Analytics çalışma alanına Kurtarma Hizmetleri Kasası için Tanılama Ayarlar dağıtın. | Kaynağa özgü kategoriler için Log Analytics çalışma alanına akış yapmak üzere Kurtarma Hizmetleri Kasası için Tanılama Ayarlar dağıtın. Kaynağa özgü kategorilerden herhangi biri etkinleştirilmediyse yeni bir tanılama ayarı oluşturulur. | deployIfNotExists | 1.0.2 |
Batch
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Batch hesabı verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Batch hesabınızın verilerinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/Batch-CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Batch havuzlarının disk şifrelemesi etkinleştirilmelidir | Azure Batch disk şifrelemesini etkinleştirmek, Azure Batch işlem düğümünüzde bekleyen verilerin her zaman şifrelenmesini sağlar. Adresinde Batch'te https://docs.microsoft.com/azure/batch/disk-encryptiondisk şifrelemesi hakkında daha fazla bilgi edinin. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Batch hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Batch hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/batch/auth. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Batch hesaplarını yapılandırma | Batch hesaplarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için konum kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/batch/auth. | Değiştir, Devre Dışı | 1.0.0 |
| Batch hesaplarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Batch hesabında genel ağ erişimini devre dışı bırakmak, Batch hesabınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. adresinde genel ağ erişimini https://docs.microsoft.com/azure/batch/private-connectivitydevre dışı bırakma hakkında daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.0.0 |
| Batch hesaplarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Batch hesaplarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/batch/private-connectivity | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıtma - Batch hesaplarına bağlanan özel uç noktalar için özel DNS bölgelerini yapılandırma | Özel DNS kayıtları, özel uç noktalara özel bağlantılara izin verir. Özel uç nokta bağlantıları, kaynak veya hedefte genel IP adreslerine gerek kalmadan Batch hesaplarına özel bağlantıyı etkinleştirerek güvenli iletişim sağlar. Batch'teki özel uç noktalar ve DNS bölgeleri hakkında daha fazla bilgi için bkz https://docs.microsoft.com/azure/batch/private-connectivity. . | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Ölçüm uyarı kuralları Batch hesaplarında yapılandırılmalıdır | Gerekli ölçümü etkinleştirmek için Batch hesabında ölçüm uyarı kurallarının yapılandırmasını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Batch hesaplarında özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, kaynak veya hedefte genel IP adreslerine gerek kalmadan Batch hesaplarına özel bağlantıyı etkinleştirerek güvenli iletişim sağlar. Batch'te özel uç noktalar hakkında daha fazla bilgi için bkz https://docs.microsoft.com/azure/batch/private-connectivity. . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Batch hesapları için genel ağ erişimi devre dışı bırakılmalıdır | Batch hesabında genel ağ erişimini devre dışı bırakmak, Batch hesabınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. adresinde genel ağ erişimini https://docs.microsoft.com/azure/batch/private-connectivitydevre dışı bırakma hakkında daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Bot Hizmeti
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Bot Hizmeti uç noktası geçerli bir HTTPS URI'si olmalıdır | İletim sırasında verilerin üzerinde oynanabilir. Kötüye kullanım ve üzerinde oynama sorunlarını çözmek için şifreleme sağlayan protokoller vardır. Botlarınızın yalnızca şifrelenmiş kanallar üzerinden iletişim kurduğundan emin olmak için uç noktayı geçerli bir HTTPS URI'sine ayarlayın. Bu, HTTPS protokolünüzün aktarımdaki verilerinizi şifrelemek için kullanılmasını sağlar ve genellikle mevzuat veya sektör standartlarına uyumluluk için de bir gereksinimdir. Lütfen şu adresi ziyaret edin: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Bot Hizmeti müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Azure Bot Hizmeti, verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerini karşılamak için kaynağınızı otomatik olarak şifreler. Varsayılan olarak, Microsoft tarafından yönetilen şifreleme anahtarları kullanılır. Anahtarları yönetme veya aboneliğinize erişimi denetleme konusunda daha fazla esneklik için kendi anahtarını getir (BYOK) olarak da bilinen müşteri tarafından yönetilen anahtarları seçin. Azure Bot Hizmeti şifrelemesi hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Bot Hizmeti yalıtılmış modu etkinleştirmiş olmalıdır | Botlar 'yalnızca yalıtılmış' moda ayarlanmalıdır. Bu ayar, genel İnternet üzerinden trafiğin devre dışı bırakılması gereken Bot Hizmeti kanalları yapılandırılır. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Bot Hizmeti yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, botların yalnızca kimlik doğrulaması için AAD kullanmasını sağlayarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bot Hizmeti genel ağ erişimi devre dışı bırakılmalıdır | Botlar 'yalnızca yalıtılmış' moda ayarlanmalıdır. Bu ayar, genel İnternet üzerinden trafiğin devre dışı bırakılması gereken Bot Hizmeti kanalları yapılandırılır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| BotService kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları BotService kaynağınıza eşleyerek veri sızıntısı riskleri azalır. | Denetim, Devre Dışı | 1.0.0 |
| BotService kaynaklarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, BotService ile ilgili kaynaklara çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| BotService kaynaklarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları BotService kaynağınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Önbellek
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Redis için Azure Cache genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, Redis için Azure Cache genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak Redis için Azure Cache açığa çıkarmanızı sınırlayabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SSL olmayan bağlantı noktalarını devre dışı bırakmak için Redis için Azure Cache yapılandırma | yalnızca Redis için Azure Cache SSL bağlantılarını etkinleştirin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Değiştir, Devre Dışı | 1.0.0 |
| genel ağ erişimini devre dışı bırakmak için Redis için Azure Cache yapılandırma | Redis için Azure Cache kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, önbelleğin veri sızıntısı risklerine karşı korunmasına yardımcı olur. | Değiştir, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Redis için Azure Cache çözümlemek için sanal ağınıza özel bir DNS bölgesi bağlanabilir. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Özel uç noktalarla Redis için Azure Cache yapılandırma | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache kaynaklarınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
CDN
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Front Door profilleri yönetilen WAF kurallarını ve özel bağlantıyı destekleyen Premium katmanı kullanmalıdır | Azure Front Door Premium, Azure tarafından yönetilen WAF kurallarını ve desteklenen Azure kaynaklarına özel bağlantıyı destekler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door Standard ve Premium en az 1.2 TLS sürümünü çalıştırıyor olmalıdır | En düşük TLS sürümünün 1.2 olarak ayarlanması, özel etki alanlarınızın TLS 1.2 veya üzerini kullanan istemcilerden erişildiğinden emin olarak güvenliği artırır. TlS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez çünkü bunlar zayıftır ve modern şifreleme algoritmalarını desteklemez. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door Premium ile Azure Depolama Blobu veya Azure Uygulaması Hizmeti arasında güvenli özel bağlantı | Özel bağlantı, Azure Depolama Blobu veya Azure Uygulaması Hizmeti İnternet'e genel kullanıma sunulmadan AFD Premium ile Azure Depolama Blobu veya Azure Uygulaması Hizmeti arasında Azure omurga ağı üzerinden özel bağlantı sağlar. | Denetim, Devre Dışı | 1.0.0 |
ChangeTrackingAndInventory
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Linux Arc özellikli makineleri ChangeTracking ve Inventory için Veri Toplama Kuralı ile ilişkilendirilecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Linux Arc özellikli makineleri belirtilen Veri Toplama Kuralına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konum listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Linux Arc özellikli makineleri ChangeTracking ve Inventory için AMA yükleyecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Linux Arc özellikli makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bölge destekleniyorsa bu ilke uzantıyı yükler. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.3.0-önizleme |
| [Önizleme]: Linux Sanal Makineler ChangeTracking ve Inventory için Veri Toplama Kuralı ile ilişkilendirilecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Linux sanal makinelerini belirtilen Veri Toplama Kuralına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kullanıcı tarafından atanan yönetilen kimlikle ChangeTracking ve Inventory için AMA yüklemek üzere Linux VM'lerini yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Linux sanal makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.4.0-önizleme |
| [Önizleme]: Linux VMSS'yi ChangeTracking ve Inventory için Veri Toplama Kuralıyla ilişkilendirilecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Linux sanal makine ölçek kümelerini belirtilen Veri Toplama Kuralına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kullanıcı tarafından atanan yönetilen kimlikle ChangeTracking ve Inventory için AMA yüklemek üzere Linux VMSS'yi yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Linux sanal makine ölçek kümelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.3.0-önizleme |
| [Önizleme]: Windows Arc özellikli makineleri ChangeTracking ve Inventory için Veri Toplama Kuralı ile ilişkilendirilecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Windows Arc özellikli makineleri belirtilen Veri Toplama Kuralına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konum listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Windows Arc özellikli makineleri ChangeTracking ve Inventory için AMA yükleyecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Windows Arc özellikli makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. İşletim sistemi ve bölge destekleniyorsa ve sistem tarafından atanan yönetilen kimlik etkinleştirildiyse bu ilke uzantıyı yükler ve aksi takdirde yüklemeyi atlar. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Windows Sanal Makineler'ı ChangeTracking ve Inventory için Veri Toplama Kuralı ile ilişkilendirilecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Windows sanal makinelerini belirtilen Veri Toplama Kuralına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kullanıcı tarafından atanan yönetilen kimlikle ChangeTracking ve Inventory için AMA yüklemek üzere Windows VM'lerini yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Windows sanal makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Windows VMSS'yi ChangeTracking ve Inventory için Veri Toplama Kuralı ile ilişkilendirilecek şekilde yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Windows sanal makine ölçek kümelerini belirtilen Veri Toplama Kuralına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kullanıcı tarafından atanan yönetilen kimlikle ChangeTracking ve Inventory için AMA'yi yüklemek üzere Windows VMSS'yi yapılandırma | ChangeTracking ve Inventory'ı etkinleştirmek için Windows sanal makine ölçek kümelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
Bilişsel Hizmetler
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Bilişsel Hizmetler hesapları, müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi etkinleştirmelidir | Yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, Bilişsel Hizmetler'de depolanan verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden müşteri tarafından yönetilen anahtarlar https://go.microsoft.com/fwlink/?linkid=2121321hakkında daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Bilişsel Hizmetler hesapları yönetilen kimlik kullanmalıdır | Bilişsel Hizmet hesabınıza yönetilen kimlik atamak, güvenli kimlik doğrulamasının sağlanmasına yardımcı olur. Bu kimlik, kimlik bilgilerini yönetmek zorunda kalmadan Azure Key Vault gibi diğer Azure hizmetleriyle güvenli bir şekilde iletişim kurmak için bu Bilişsel hizmet hesabı tarafından kullanılır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesapları müşteriye ait depolama alanını kullanmalıdır | Bilişsel Hizmetler'de bekleyen verileri denetlemek için müşteriye ait depolama alanını kullanın. Müşteriye ait depolama alanı hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/cogsvc-cmk. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.0 |
| Bilişsel Hizmetler hesaplarını yerel kimlik doğrulama yöntemlerini devre dışı bırakmak için yapılandırma | Bilişsel Hizmetler hesaplarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/cs/auth. | Değiştir, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesaplarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Bilişsel Hizmetler kaynağınızın genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800. | Devre Dışı, Değiştir | 3.0.0 |
| Bilişsel Hizmetler hesaplarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Bilişsel Hizmetler hesaplarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesaplarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | DeployIfNotExists, Devre Dışı | 3.0.0 |
İşlem
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| İzin verilen sanal makine boyutu SKU'ları | Bu ilke, kuruluşunuzun dağıtabileceği bir sanal makine boyutu SKU kümesi belirtmenize olanak tanır. | Reddet | 1.0.1 |
| Olağanüstü durum kurtarma yapılandırılmadan sanal makineleri denetleme | Olağanüstü durum kurtarma yapılandırılmamış sanal makineleri denetleme. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Yönetilen disk kullanmayan VM'leri denetleme | Bu ilke yönetilen diskleri kullanmayan VM’leri denetler | denetim | 1.0.0 |
| Azure Site Recovery aracılığıyla çoğaltmayı etkinleştirerek sanal makinelerde olağanüstü durum kurtarmayı yapılandırma | Olağanüstü durum kurtarma yapılandırmaları olmayan sanal makineler kesintilere ve diğer kesintilere karşı savunmasızdır. Sanal makinede henüz olağanüstü durum kurtarma yapılandırılmamışsa, iş sürekliliğini kolaylaştırmak için önceden ayarlanmış yapılandırmalar kullanılarak çoğaltma etkinleştirilerek aynı işlem başlatılır. İsteğe bağlı olarak, atama kapsamını denetlemek için belirtilen etiketi içeren sanal makineleri dahil edebilir/hariç tutabilirsiniz. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/asr-doc. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Disk erişim kaynaklarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, yönetilen diske çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Disk erişim kaynaklarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları disk erişimi kaynaklarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yönetilen diskleri genel ağ erişimini devre dışı bırakmak için yapılandırma | Yönetilen disk kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc. | Değiştir, Devre Dışı | 2.0.0 |
| Windows Server için varsayılan Microsoft IaaSAntimalware uzantısını dağıtma | Bu ilke, bir VM kötü amaçlı yazılımdan koruma uzantısıyla yapılandırılmadığında varsayılan yapılandırmaya sahip bir Microsoft IaaSAntimalware uzantısı dağıtır. | deployIfNotExists | 1.1.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Yönetilen diskler hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarla çift şifrelenmelidir | Belirli bir şifreleme algoritması, uygulama veya anahtarın tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler, platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Çift şifreleme kullanmak için disk şifreleme kümeleri gereklidir. https://aka.ms/disks-doubleEncryption adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Yönetilen diskler genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, yönetilen bir diskin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak yönetilen disklerin açığa çıkmayı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc. | Denetim, Devre Dışı | 2.0.0 |
| Yönetilen diskler, müşteri tarafından yönetilen anahtar şifrelemesi için belirli bir disk şifreleme kümeleri kümesi kullanmalıdır | Yönetilen disklerle kullanılacak belirli bir disk şifreleme kümesi kümesinin gerekli olması, bekleyen şifreleme için kullanılan anahtarlar üzerinde denetim sahibi olmanıza neden olur. İzin verilen şifrelenmiş kümeleri seçebilirsiniz ve diske eklendiğinde diğer tüm kümeler reddedilir. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır | Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır | Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Yalnızca onaylı VM uzantıları yüklenmelidir | Bu ilke, onaylanmamış sanal makine uzantılarını yönetir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| İşletim sistemi ve veri diskleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Yönetilen disklerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen platform tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Diske veya anlık görüntüye dışarı aktarırken veya karşıya yüklerken kimlik doğrulama gereksinimleriyle verilerinizi koruyun. | Dışarı aktarma/karşıya yükleme URL'si kullanıldığında sistem, kullanıcının Azure Active Directory'de kimliği olup olmadığını ve verileri dışarı aktarmak/karşıya yüklemek için gerekli izinlere sahip olup olmadığını denetler. Lütfen aka.ms/DisksAzureADAuth başvurun. | Değiştir, Devre Dışı | 1.0.0 |
| Sanal Makine Ölçek Kümeleri otomatik işletim sistemi görüntüsü düzeltme eki uygulama gerektir | Bu ilke, her ay en son güvenlik düzeltme eklerini güvenli bir şekilde uygulayarak Sanal Makineler her zaman güvende tutmak için Sanal Makine Ölçek Kümeleri otomatik işletim sistemi görüntüsü düzeltme eki uygulamayı zorunlu tutar. | reddet | 1.0.0 |
| Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir | Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Container Apps
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Container Apps'te kimlik doğrulaması etkinleştirilmelidir | Container Apps Kimlik Doğrulaması, anonim HTTP isteklerinin Kapsayıcı Uygulamasına ulaşmasını engelleyebilen veya Kapsayıcı Uygulamasına ulaşmadan önce belirteçleri olan kişilerin kimliğini doğrulayan bir özelliktir | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Kapsayıcı Uygulaması ortamları ağ ekleme kullanmalıdır | Container Apps ortamları şu sanal ağ ekleme işlemini kullanmalıdır: 1.Container Apps'i genel İnternet'ten yalıtma 2.Şirket içi veya diğer Azure sanal ağlarındaki kaynaklarla ağ tümleştirmesini etkinleştirin 3.Ortama gelen ve ortamdan gelen ağ trafiği üzerinde daha ayrıntılı denetim elde edin. | Denetim, Devre Dışı, Reddet | 1.0.2 |
| Kapsayıcı Uygulaması birim bağlama ile yapılandırılmalıdır | Kalıcı depolama kapasitesinin kullanılabilirliğini sağlamak için Container Apps için birim bağlamalarının kullanımını zorunlu kılın. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Container Apps ortamı genel ağ erişimini devre dışı bırakmalıdır | Bir iç yük dengeleyici aracılığıyla Container Apps ortamını kullanıma sunarak güvenliği geliştirmek için genel ağ erişimini devre dışı bırakın. Bu, genel IP adresi gereksinimini ortadan kaldırır ve ortamdaki tüm Container Apps'e İnternet erişimini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Container Apps dış ağ erişimini devre dışı bırakmalıdır | Yalnızca iç girişi zorunlu kılarak Container Apps'inize dış ağ erişimini devre dışı bırakın. Bu, Container Apps için gelen iletişimin Container Apps ortamındaki arayanlar ile sınırlı olmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Container Apps'e yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. 'allowInsecure' seçeneğinin devre dışı bırakılması, kapsayıcı uygulamaları için ISTEKLERIn HTTP'den HTTPS bağlantılarına otomatik olarak yeniden yönlendirilmesine neden olur. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Container Apps için Yönetilen Kimlik etkinleştirilmelidir | Yönetilen kimliği zorunlu tutma, Container Apps'in Azure AD kimlik doğrulamasını destekleyen tüm kaynaklarda güvenli bir şekilde kimlik doğrulamasına sahip olmasını sağlar | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Kapsayıcı Örneği
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Container Instance kapsayıcı grubu sanal ağa dağıtılmalıdır | Azure Sanal Ağ s ile kapsayıcılarınız arasındaki iletişimin güvenliğini sağlayın. Bir sanal ağ belirttiğinizde, sanal ağ içindeki kaynaklar birbirleriyle güvenli ve özel olarak iletişim kurabilir. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| Azure Container Instance kapsayıcı grubu şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak kapsayıcılarınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Log Analytics çalışma alanına kapsayıcı grupları için tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir kapsayıcı örneği oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Kapsayıcı Örneği tanılama ayarlarını dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Container Instances
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Log Analytics çalışma alanını kapsayıcı grubu için tanılamayı yapılandırma | Bu alanlar eksik olan herhangi bir kapsayıcı grubu oluşturulduğunda veya güncelleştirildiğinde belirtilen log analytics workspaceId ve workspaceKey değerlerini ekler. Bu ilke uygulanmadan önce oluşturulan kapsayıcı gruplarının alanlarını, bu kaynak grupları değiştirilene kadar değiştirmez. | Ekle, Devre Dışı | 1.0.0 |
Container Registry
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Anonim kimlik doğrulamasını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Verilerin kimliği doğrulanmamış kullanıcı tarafından erişilmemesi için kayıt defteriniz için anonim çekmeyi devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| ARM hedef kitle belirteci kimlik doğrulamasını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Kayıt defterinizde kimlik doğrulaması için Azure Active Directory ARM hedef kitle belirteçlerini devre dışı bırakın. Kimlik doğrulaması için yalnızca Azure Container Registry (ACR) hedef kitle belirteçleri kullanılır. Bu, yalnızca kayıt defterindeki kullanım için kullanılan belirteçlerin kimlik doğrulaması için kullanılabilmesini sağlar. ARM hedef kitle belirteçlerinin devre dışı bırakılması yönetici kullanıcının veya kapsamlı erişim belirteçlerinin kimlik doğrulamasını etkilemez. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| Yerel yönetici hesabını devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Yerel yönetici tarafından erişilmemesi için kayıt defterinizin yönetici hesabını devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.1 |
| Genel ağ erişimini devre dışı bırakmak için Kapsayıcı kayıt defterlerini yapılandırma | Container Registry kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. ve https://aka.ms/acr/private-linkadresinden https://aka.ms/acr/portal/public-network daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.0.0 |
| Depo kapsamlı erişim belirtecini devre dışı bırakmak için kapsayıcı kayıt defterlerini yapılandırın. | Depolara belirteçler tarafından erişilmemesi için kayıt defteriniz için depo kapsamlı erişim belirteçlerini devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Değiştir, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerini özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Container Registry'nize çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/privatednszone ve https://aka.ms/acr/private-link. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Kapsayıcı kayıt defterlerini özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları premium kapsayıcı kayıt defteri kaynaklarınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints ve https://aka.ms/acr/private-link. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.2 |
| Kapsayıcı kayıt defterlerinin anonim kimlik doğrulaması devre dışı bırakılmalıdır. | Verilerin kimliği doğrulanmamış kullanıcı tarafından erişilmemesi için kayıt defteriniz için anonim çekmeyi devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinin ARM hedef kitle belirteci kimlik doğrulaması devre dışı bırakılmalıdır. | Kayıt defterinizde kimlik doğrulaması için Azure Active Directory ARM hedef kitle belirteçlerini devre dışı bırakın. Kimlik doğrulaması için yalnızca Azure Container Registry (ACR) hedef kitle belirteçleri kullanılır. Bu, yalnızca kayıt defterindeki kullanım için kullanılan belirteçlerin kimlik doğrulaması için kullanılabilmesini sağlar. ARM hedef kitle belirteçlerinin devre dışı bırakılması yönetici kullanıcının veya kapsamlı erişim belirteçlerinin kimlik doğrulamasını etkilemez. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinde dışarı aktarmalar devre dışı bırakılmalıdır | Dışarı aktarmaların devre dışı bırakılması, kayıt defterindeki verilere yalnızca veri düzlemi ('docker pull') aracılığıyla erişildiğinden emin olarak güvenliği artırır. Veriler 'acr içeri aktarma' veya 'acr aktarımı' yoluyla kayıt defterinden taşınamaz. Dışarı aktarmaları devre dışı bırakmak için genel ağ erişiminin devre dışı bırakılması gerekir. Daha fazla bilgi için: https://aka.ms/acr/export-policy. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinin yerel yönetici hesabı devre dışı bırakılmalıdır. | Yerel yönetici tarafından erişilmemesi için kayıt defterinizin yönetici hesabını devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Kapsayıcı kayıt defterlerinin depo kapsamı belirlenmiş erişim belirteci devre dışı bırakılmalıdır. | Depolara belirteçler tarafından erişilmemesi için kayıt defteriniz için depo kapsamlı erişim belirteçlerini devre dışı bırakın. Yönetici kullanıcı, depo kapsamlı erişim belirteçleri ve anonim çekme gibi yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, kapsayıcı kayıt defterlerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirdiğinden emin olarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/acr/authentication. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterlerinde Özel Bağlantı destekleyen SKU'lar olmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri önbellek kuralı oluşturmayı engellemelidir | Önbellek çekmelerini önlemek için Azure Container Registry'nizde önbellek kuralı oluşturmayı devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/acr/cache. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| Kapsayıcı kayıt defterleri için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişiminin devre dışı bırakılması, kapsayıcı kayıt defterlerinin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktaların oluşturulması kapsayıcı kayıt defteri kaynaklarının açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Cosmos DB
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Azure Cosmos DB hesapları, son hesap anahtarı yeniden oluşturma işleminden bu yana izin verilen en fazla gün sayısını aşmamalıdır. | Verilerinizi daha korumalı tutmak için anahtarlarınızı belirtilen sürede yeniden üretin. | Denetim, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/cosmosdb-cmk adresinden daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Cosmos DB izin verilen konumları | Bu ilke, Azure Cosmos DB kaynaklarını dağıtırken kuruluşunuzun belirtebileceği konumları kısıtlamanızı sağlar. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. | [parameters('policyEffect')] | 1.1.0 |
| Azure Cosmos DB anahtar tabanlı meta veri yazma erişimi devre dışı bırakılmalıdır | Bu ilke, tüm Azure Cosmos DB hesaplarının anahtar tabanlı meta veri yazma erişimini devre dışı bırakmasını sağlar. | append | 1.0.0 |
| Azure Cosmos DB genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, CosmosDB hesabınızın genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak CosmosDB hesabınızın açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB aktarım hızı sınırlı olmalıdır | Bu ilke, kaynak sağlayıcısı aracılığıyla Azure Cosmos DB veritabanları ve kapsayıcıları oluştururken kuruluşunuzun belirtebileceği en yüksek aktarım hızını kısıtlamanızı sağlar. Otomatik ölçeklendirme kaynaklarının oluşturulmasını engeller. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Cosmos DB veritabanı hesaplarını yapılandırma | Cosmos DB veritabanı hesaplarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Değiştir, Devre Dışı | 1.1.0 |
| CosmosDB hesaplarını genel ağ erişimini devre dışı bırakmak için yapılandırma | CosmosDB kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Değiştir, Devre Dışı | 1.0.1 |
| CosmosDB hesaplarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. CosmosDB hesabına çözümlenmesi için özel DNS bölgesi sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| CosmosDB hesaplarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. CosmosDB hesabınıza özel uç noktaları eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Cosmos DB veritabanı hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Cosmos DB veritabanı hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Cosmos DB Hesapları için Gelişmiş Tehdit Koruması Dağıtma | Bu ilke, Cosmos DB hesaplarında Gelişmiş Tehdit Koruması'nı etkinleştirir. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Özel Sağlayıcı
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Özel sağlayıcı için ilişkilendirmeleri dağıtma | Seçili kaynak türlerini belirtilen özel sağlayıcıyla ilişkilendiren bir ilişkilendirme kaynağı dağıtır. Bu ilke dağıtımı iç içe kaynak türlerini desteklemez. | deployIfNotExists | 1.0.0 |
Data Box
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Data Box işleri, cihazdaki bekleyen veriler için çift şifrelemeyi etkinleştirmelidir | Cihazdaki bekleyen veriler için ikinci bir yazılım tabanlı şifreleme katmanını etkinleştirin. Cihaz bekleyen veriler için Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunmaktadır. Bu seçenek ikinci bir veri şifreleme katmanı ekler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Box işleri, cihaz kilidini açma parolasını şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Data Box için cihaz kilidi açma parolasının şifrelenmesini denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, cihazı hazırlamak ve verileri otomatik bir şekilde kopyalamak için Data Box hizmeti tarafından cihaz kilidi açma parolasına erişimin yönetilmesine de yardımcı olur. Cihazın kendisinde bulunan veriler Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten şifrelenir ve cihaz kilidi açma parolası varsayılan olarak Microsoft tarafından yönetilen bir anahtarla şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Data Factory
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Data Factory işlem hatları yalnızca izin verilen etki alanlarıyla iletişim kurmalıdır | Veri ve belirteç sızdırmasını önlemek için Azure Data Factory'nin iletişim kurmasına izin verilmesi gereken etki alanlarını ayarlayın. Not: Genel önizleme aşamasındayken bu ilkenin uyumluluğu raporlanmaz ve ilkenin Data Factory'ye uygulanması için lütfen ADF studio'da giden kuralları işlevselliğini etkinleştirin. Daha fazla bilgi için https://aka.ms/data-exfiltration-policy adresini ziyaret edin. | Reddet, Devre Dışı | 1.0.0-önizleme |
| Azure veri fabrikaları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Azure Data Factory'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/adf-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Data Factory tümleştirme çalışma zamanının çekirdek sayısı sınırı olmalıdır | Kaynaklarınızı ve maliyetlerinizi yönetmek için tümleştirme çalışma zamanının çekirdek sayısını sınırlayın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Factory bağlı hizmet kaynak türü izin verilenler listesinde olmalıdır | Azure Data Factory bağlı hizmet türlerinin izin verilenler listesini tanımlayın. İzin verilen kaynak türlerini kısıtlamak, veri taşıma sınırı üzerinde denetime olanak tanır. Örneğin, kapsamı yalnızca analiz için Data Lake Storage 1. Nesil ve 2. Nesil ile blob depolamaya izin verecek şekilde veya gerçek zamanlı sorgular için yalnızca SQL ve Kusto erişimine izin verecek şekilde kısıtlayın. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Data Factory bağlı hizmetleri gizli dizileri depolamak için Key Vault kullanmalıdır | Gizli dizilerin (bağlantı dizesi gibi) güvenli bir şekilde yönetildiğinden emin olmak için, kullanıcıların bağlı hizmetlerde satır içi olarak belirtmek yerine Azure Key Vault kullanarak gizli diziler sağlamasını zorunlu tutun. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Factory bağlı hizmetleri desteklendiğinde sistem tarafından atanan yönetilen kimlik kimlik doğrulamasını kullanmalıdır | Bağlı hizmetler aracılığıyla veri depolarıyla iletişim kurarken sistem tarafından atanan yönetilen kimliğin kullanılması, parolalar veya bağlantı dizesi gibi daha az güvenli kimlik bilgilerinin kullanılmasını önler. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory kaynak denetimi için git deposu kullanmalıdır | Git tümleştirmesi ile yalnızca geliştirme veri fabrikanızı yapılandırın. Test ve üretim değişiklikleri CI/CD aracılığıyla dağıtılmalı ve Git tümleştirmesine SAHIP DEĞİlDİr. Bu ilkeyi Soru-Cevap / Test / Üretim veri fabrikalarınıza UYGULAMAYIN. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Veri Fabrikalarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Data Factory'nizin genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Data Factory'ye bağlanan özel uç noktalar için özel DNS bölgelerini yapılandırma | Özel DNS kayıtları, özel uç noktalara özel bağlantılara izin verir. Özel uç nokta bağlantıları, kaynak veya hedefte genel IP adreslerine gerek kalmadan Azure Data Factory'nize özel bağlantı sağlayarak güvenli iletişim sağlar. Azure Data Factory'deki özel uç noktalar ve DNS bölgeleri hakkında daha fazla bilgi için bkz https://docs.microsoft.com/azure/data-factory/data-factory-private-link. . | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Veri fabrikaları için özel uç noktaları yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure Data Factory'nize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Azure Data Factory'de genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğini devre dışı bırakmak, Azure Data Factory'nize yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Factory'deki SQL Server Integration Services tümleştirme çalışma zamanları bir sanal ağa katılmalıdır | Azure Sanal Ağ dağıtımı, erişimi daha fazla kısıtlamak için Azure Data Factory'deki SQL Server Integration Services tümleştirme çalışma zamanlarınızın yanı sıra alt ağlar, erişim denetimi ilkeleri ve diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. | Denetim, Reddetme, Devre Dışı | 2.3.0 |
Data Lake
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Data Lake Store hesaplarında şifreleme gerektir | Bu ilke, tüm Data Lake Store hesaplarında şifrelemenin etkinleştirilmesini sağlar | reddet | 1.0.0 |
| Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Masaüstü Sanallaştırma
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Sanal Masaüstü konak havuzları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak güvenliği artırır ve Azure Sanal Masaüstü hizmetine erişimin genel İnternet'e açık olmamasını sağlayarak verilerinizi güvende tutar. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü konak havuzları yalnızca oturum konaklarında genel ağ erişimini devre dışı bırakmalıdır | Azure Sanal Masaüstü konak oturumu konaklarınız için genel ağ erişimini devre dışı bırakmak, ancak son kullanıcılar için genel erişime izin vermek, genel İnternet'e maruz kalma durumunu sınırlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü hizmeti özel bağlantı kullanmalıdır | Azure Sanal Masaüstü kaynaklarınızla Azure Özel Bağlantı kullanmak güvenliği artırabilir ve verilerinizi güvende tutabilir. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/avdprivatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü çalışma alanları genel ağ erişimini devre dışı bırakmalıdır | Azure Sanal Masaüstü çalışma alanı kaynağınız için genel ağ erişimini devre dışı bırakmak, akışın genel İnternet üzerinden erişilebilir olmasını önler. Yalnızca özel ağ erişimine izin vermek güvenliği artırır ve verilerinizi güvende tutar. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü konak havuzu kaynaklarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Sanal Masaüstü kaynaklarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü konak havuzlarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Azure Sanal Masaüstü konak havuzu kaynağınızda oturum konakları ve son kullanıcılar için genel ağ erişimini devre dışı bırakın; böylece genel İnternet üzerinden erişilemez. Bu, güvenliği artırır ve verilerinizi güvende tutar. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü konak havuzlarını yalnızca oturum konakları için genel ağ erişimini devre dışı bırakmak üzere yapılandırma | Azure Sanal Masaüstü konak havuzu oturum konaklarınız için genel ağ erişimini devre dışı bırakın, ancak son kullanıcılar için genel erişime izin verin. Bu, kullanıcıların AVD hizmetine erişmeye devam etmesini sağlarken oturum konağına yalnızca özel yollar üzerinden erişilmesini sağlar. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü konak havuzlarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure Sanal Masaüstü kaynaklarınıza eşleyerek güvenliği artırabilir ve verilerinizi güvende tutabilirsiniz. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü çalışma alanı kaynaklarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Sanal Masaüstü kaynaklarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü çalışma alanlarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Akışa genel İnternet üzerinden erişilmemesi için Azure Sanal Masaüstü çalışma alanı kaynağınız için genel ağ erişimini devre dışı bırakın. Bu, güvenliği artırır ve verilerinizi güvende tutar. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Sanal Masaüstü çalışma alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure Sanal Masaüstü kaynaklarınıza eşleyerek güvenliği artırabilir ve verilerinizi güvende tutabilirsiniz. Daha fazla bilgi için: https://aka.ms/avdprivatelink. | DeployIfNotExists, Devre Dışı | 1.0.0 |
DevCenter
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Microsoft Dev Box Havuzları Microsoft Barındırılan Ağları kullanmamalıdır. | Havuz kaynakları oluşturulurken Microsoft Barındırılan Ağlarının kullanılmasına izin verme. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
ElasticSan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| ElasticSan genel ağ erişimini devre dışı bırakmalıdır | Genel İnternet üzerinden erişilmemesi için ElasticSan'ınız için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| ElasticSan Birim Grubu bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | VolumeGroup'unuzun geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri platform tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle CMK'ler gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar ve döndürme ve yönetim de dahil olmak üzere tam denetim ve sorumluluk sunar. | Denetim, Devre Dışı | 1.0.0 |
| ElasticSan Birim Grubu özel uç noktaları kullanmalıdır | Özel uç noktalar, yöneticinin sanal ağları kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamasına olanak tanır. Yönetici, özel uç noktaları birim grubuna eşleyerek veri sızıntısı risklerini azaltabilir | Denetim, Devre Dışı | 1.0.0 |
Event Grid
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Event Grid etki alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın etkilenmesini sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanlarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Event Grid etki alanlarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/aeg-disablelocalauth. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid ad alanı MQTT aracısı özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid ad alanınıza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/aeg-ns-privateendpoints. | Denetim, Devre Dışı | 1.0.0 |
| Azure Event Grid ad alanı konu aracısı özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid ad alanınıza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/aeg-ns-privateendpoints. | Denetim, Devre Dışı | 1.0.0 |
| Azure Event Grid ad alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın etkilenmesini sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/aeg-ns-privateendpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Event Grid iş ortağı ad alanlarının yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Event Grid iş ortağı ad alanlarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/aeg-disablelocalauth. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Event Grid konuları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın etkilenmesini sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Event Grid konu başlıklarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Event Grid konularının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/aeg-disablelocalauth. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Azure Event Grid etki alanlarını yapılandırma | Azure Event Grid etki alanlarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/aeg-disablelocalauth. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Event Grid ad alanı MQTT aracısını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları kaynaklarınıza eşleyerek veri sızıntısı risklerine karşı korunurlar. Daha fazla bilgi için: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid ad alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları kaynaklarınıza eşleyerek veri sızıntısı risklerine karşı korunurlar. Daha fazla bilgi için: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Azure Event Grid iş ortağı ad alanlarını yapılandırma | Yerel kimlik doğrulama yöntemlerini devre dışı bırakın; böylece Azure Event Grid iş ortağı ad alanlarınız yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirir. Daha fazla bilgi için: https://aka.ms/aeg-disablelocalauth. | Değiştir, Devre Dışı | 1.0.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Azure Event Grid konularını yapılandırma | Azure Event Grid konularınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/aeg-disablelocalauth. | Değiştir, Devre Dışı | 1.0.0 |
| Dağıtma - Azure Event Grid etki alanlarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Daha fazla bilgi için: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Dağıtma - Azure Event Grid etki alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları kaynaklarınıza eşleyerek veri sızıntısı risklerine karşı korunurlar. Daha fazla bilgi için: https://aka.ms/privateendpoints. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıt - Azure Event Grid konularını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Daha fazla bilgi için: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Dağıtma - Azure Event Grid konularını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları kaynaklarınıza eşleyerek veri sızıntısı risklerine karşı korunurlar. Daha fazla bilgi için: https://aka.ms/privateendpoints. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Değiştir - Genel ağ erişimini devre dışı bırakmak için Azure Event Grid etki alanlarını yapılandırma | Azure Event Grid kaynağı için genel ağ erişimini devre dışı bırakın, böylece genel İnternet üzerinden erişilemez. Bu, veri sızıntısı risklerine karşı korunmalarına yardımcı olur. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın görünür kalmasını sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Değiştir, Devre Dışı | 1.0.0 |
| Değiştir - Genel ağ erişimini devre dışı bırakmak için Azure Event Grid konularını yapılandırma | Azure Event Grid kaynağı için genel ağ erişimini devre dışı bırakın, böylece genel İnternet üzerinden erişilemez. Bu, veri sızıntısı risklerine karşı korunmalarına yardımcı olur. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın görünür kalmasını sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Değiştir, Devre Dışı | 1.0.0 |
Olay Hub'ı
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| RootManageSharedAccessKey dışındaki tüm yetkilendirme kuralları Olay Hub'ı ad alanından kaldırılmalıdır | Event Hub istemcileri, bir ad alanındaki tüm kuyruklara ve konulara erişim sağlayan bir ad alanı düzeyi erişim ilkesi kullanmamalıdır. En az ayrıcalıklı güvenlik modeliyle uyumlu hale getirmek için, yalnızca belirli bir varlığa erişim sağlamak üzere kuyruklar ve konular için varlık düzeyinde erişim ilkeleri oluşturmanız gerekir | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Olay Hub'ı örneğindeki yetkilendirme kuralları tanımlanmalıdır | En az ayrıcalıklı erişim vermek için Event Hub varlıklarında yetkilendirme kurallarının varlığını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Hub ad alanlarının yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Event Hub ad alanlarının yalnızca kimlik doğrulaması için Microsoft Entra ID kimlikleri gerektirdiğini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/disablelocalauth-eh. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Azure Event Hub ad alanlarını yapılandırma | Azure Event Hub ad alanlarınız yalnızca kimlik doğrulaması için Microsoft Entra ID kimlikleri gerektirecek şekilde yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/disablelocalauth-eh. | Değiştir, Devre Dışı | 1.0.1 |
| Olay Hub'ı ad alanlarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Olay Hub'ı ad alanlarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub Ad Alanları genel ağ erişimini devre dışı bırakmalıdır | Azure Olay Hub'ına genel ağ erişimi devre dışı bırakılmalıdır. Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın etkilenmesini sınırlayabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Event Hub ad alanlarının çift şifrelemesi etkinleştirilmelidir | Çift şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Event Hub ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Event Hubs, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Event Hub'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanıza, döndürmenize, devre dışı bırakmanıza ve iptal etmenize olanak tanır. Event Hub'ın yalnızca ayrılmış kümelerdeki ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. | Denetim, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Akışkan Röle
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Akıcı Geçiş bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Fluid Relay sunucunuzun geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle CMK'ler gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar ve döndürme ve yönetim de dahil olmak üzere tam denetim ve sorumluluk sunar. https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys adresinden daha fazla bilgi edinin. | Denetim, Devre Dışı | 1.0.0 |
Genel
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| İzin verilen tanımlar | Bu ilke, kuruluşunuzun kaynakları dağıtırken belirleyebileceği konumları kısıtlamanıza olanak verir. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. Kaynak gruplarını, Microsoft.AzureActiveDirectory/b2cDirectories'i ve 'global' bölgesini kullanan kaynakları dışlar. | reddet | 1.0.0 |
| Kaynak grupları için izin verilen konumlar | Bu ilke, kuruluşunuzun kaynak grupları oluşturabileceği konumları kısıtlamanızı sağlar. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. | reddet | 1.0.0 |
| İzin verilen kaynak türleri | Bu ilke, kuruluşunuzun dağıtabileceği kaynak türlerini belirtmenizi sağlar. Yalnızca 'etiketleri' ve 'konumu' destekleyen kaynak türleri bu ilkeden etkilenir. Tüm kaynakları kısıtlamak için lütfen bu ilkeyi çoğaltın ve 'mod'u 'Tümü' olarak değiştirin. | reddet | 1.0.0 |
| Kaynak konumunu denetleme, kaynak grubu konumuyla eşleşir | Kaynak konumunun kaynak grubu konumuyla eşleşerek eşleşmediğini denetleme | denetim | 2.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Önizleme özelliklerini ayarlamak için abonelikleri yapılandırma | Bu ilke, mevcut aboneliğin önizleme özelliklerini değerlendirir. Abonelikler, yeni bir önizleme özelliğine kaydolmak için düzeltilebilir. Yeni abonelikler otomatik olarak kaydedilmez. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Kaynak türlerinin silinmesine izin verme | Bu ilke, reddetme eylemi etkisini kullanarak silme çağrılarını engelleyerek kuruluşunuzun yanlışlıkla silinmeye karşı koruyabileceği kaynak türlerini belirtmenize olanak tanır. | DenyAction, Devre Dışı | 1.0.1 |
| M365 kaynaklarına İzin Verme | M365 kaynaklarının oluşturulmasını engelle. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| MCPP kaynaklarına izin verme | MCPP kaynaklarının oluşturulmasını engelleyin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kullanım Maliyetleri Kaynaklarını Dışla | Bu ilke, Kullanım Maliyetleri Kaynaklarını dağıtmanıza olanak tanır. Kullanım maliyetleri, kullanım temelinde faturalandırılan tarifeli depolama ve Azure kaynakları gibi öğeleri içerir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| İzin verilmeyen kaynak türleri | Ortamınızda hangi kaynak türlerinin dağıtılabileceğini kısıtlayın. Kaynak türlerini sınırlamak, ortamınızın karmaşıklığını ve saldırı yüzeyini azaltırken maliyetlerin yönetilmesine de yardımcı olabilir. Uyumluluk sonuçları yalnızca uyumlu olmayan kaynaklar için gösterilir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Konuk Yapılandırması
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için kullanıcı tarafından atanan yönetilen kimlik ekleme | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan sanal makinelere kullanıcı tarafından atanan bir yönetilen kimlik ekler. Kullanıcı tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-önizleme |
| [Önizleme]: Yerel kullanıcıları devre dışı bırakmak için Windows Server'ı yapılandırın. | Windows Server'da yerel kullanıcıları devre dışı bırakmayı yapılandırmak için bir Konuk Yapılandırması ataması oluşturur. Bu, Windows Server'lara yalnızca AAD (Azure Active Directory) hesabı veya bu ilke tarafından açıkça izin verilen kullanıcıların listesi tarafından erişilmesini sağlayarak genel güvenlik duruşunun iyileştirilmesini sağlar. | DeployIfNotExists, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: Genişletilmiş Güvenlik Güncelleştirmeler Windows Server 2012 Arc makinelerine yüklenmelidir. | Windows Server 2012 Arc makineleri, Microsoft tarafından yayımlanan tüm Genişletilmiş Güvenlik Güncelleştirmeler yüklemiş olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Linux makineleri Docker konakları için Azure güvenlik temeli gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Docker konakları için Azure güvenlik temelindeki önerilerden biri için doğru yapılandırılmamış. | AuditIfNotExists, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: Linux makineleri Azure işlem için STIG uyumluluk gereksinimini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem için STIG uyumluluk gereksinimi önerilerinden biri için doğru yapılandırılmamışsa, makineler uyumsuzdur. DISA (Savunma Bilgi Sistemleri Ajansı), Savunma Bakanlığı'nın (DoD) gerektirdiği şekilde işlem işletim sisteminin güvenliğini sağlamak için STIG (Güvenlik Teknik Uygulama Kılavuzu) teknik kılavuzları sağlar. Daha fazla ayrıntı için. https://public.cyber.mil/stigs/ | AuditIfNotExists, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: OMI yüklü Linux makinelerinde sürüm 1.6.8-1 veya üzeri olmalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Linux için OMI paketinin 1.6.8-1 sürümüne eklenen bir güvenlik düzeltmesi nedeniyle tüm makinelerin en son sürüme güncelleştirilmesi gerekir. Sorunu çözmek için OMI kullanan uygulamaları/paketleri yükseltin. Daha fazla bilgi için bkz. https://aka.ms/omiguidance. | AuditIfNotExists, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: Nexus İşlem Makineleri Güvenlik Temeli'ne uygun olmalıdır | Denetim için Azure İlkesi Konuk Yapılandırma aracısını kullanır. Bu ilke makinelerin Nexus işlem güvenlik temeline uymasını sağlar ve makineleri çeşitli güvenlik açıklarına ve güvenli olmayan yapılandırmalara karşı güçlendirecek şekilde tasarlanmış çeşitli önerileri kapsar (yalnızca Linux). | AuditIfNotExists, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Windows makineleri Azure işlem için STIG uyumluluk gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem için STIG uyumluluk gereksinimlerindeki önerilerden biri için doğru yapılandırılmamışsa makineler uyumlu değildir. DISA (Savunma Bilgi Sistemleri Ajansı), Savunma Bakanlığı'nın (DoD) gerektirdiği şekilde işlem işletim sisteminin güvenliğini sağlamak için STIG (Güvenlik Teknik Uygulama Kılavuzu) teknik kılavuzları sağlar. Daha fazla ayrıntı için. https://public.cyber.mil/stigs/ | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Belirtilen uygulamaların yüklü olmadığı Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Chef InSpec kaynağı, parametresi tarafından sağlanan paketlerden birinin veya daha fazlasının yüklü olmadığını gösteriyorsa makineler uyumsuz olur. | AuditIfNotExists, Devre Dışı | 4.2.0 |
| Parolasız hesapları olan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesapları olan Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Belirtilen uygulamaların yüklü olduğu Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Chef InSpec kaynağı parametresi tarafından sağlanan paketlerden birinin veya daha fazlasının yüklü olduğunu gösteriyorsa makineler uyumlu değil. | AuditIfNotExists, Devre Dışı | 4.2.0 |
| Yönetici istrators grubunda belirtilen üyelerden herhangi birinin eksik olduğu Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Yerel Yönetici istrators grubu ilke parametresinde listelenen bir veya daha fazla üye içermiyorsa makineler uyumsuz olur. | auditIfNotExists | 2.0.0 |
| Windows makineleri ağ bağlantısını denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. IP ve TCP bağlantı noktasına ağ bağlantısı durumu ilke parametresiyle eşleşmiyorsa makineler uyumlu değildir. | auditIfNotExists | 2.0.0 |
| DSC yapılandırmasının uyumlu olmadığı Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Windows PowerShell komutu Get-DSCConfigurationStatus, makine için DSC yapılandırmasının uyumlu olmadığını döndürürse makineler uyumlu değildir. | auditIfNotExists | 3.0.0 |
| Log Analytics aracısının beklendiği gibi bağlı olmadığı Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Aracı yüklü değilse veya yüklüyse makineler uyumlu değildir, ancak AgentConfigManager.MgmtSvcCfg COM nesnesi ilke parametresinde belirtilen kimlik dışında bir çalışma alanına kaydedildiğini döndürür. | auditIfNotExists | 2.0.0 |
| Belirtilen hizmetlerin yüklenmediği windows makinelerini denetleme ve 'Çalışıyor' | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Windows PowerShell komutunun Get-Service sonucu ilke parametresi tarafından belirtildiği gibi eşleşen duruma sahip hizmet adını içermiyorsa makineler uyumlu değildir. | auditIfNotExists | 3.0.0 |
| Windows Seri Konsolu'nun etkin olmadığı Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makinede Seri Konsol yazılımı yüklü değilse veya EMS bağlantı noktası numarası veya baud hızı ilke parametreleriyle aynı değerlerle yapılandırılmadıysa makineler uyumlu değildir. | auditIfNotExists | 3.0.0 |
| Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makineleri uyumlu değil. Benzersiz parolalar için varsayılan değer 24'dür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Belirtilen etki alanına katılmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. WMI sınıfı win32_computersystem Domain özelliğinin değeri ilke parametresindeki değerle eşleşmiyorsa makineler uyumlu değildir. | auditIfNotExists | 2.0.0 |
| Belirtilen saat dilimine ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. WMI sınıfı Win32_TimeZone StandardName özelliğinin değeri ilke parametresi için seçilen saat dilimiyle eşleşmiyorsa makineler uyumlu değildir. | auditIfNotExists | 3.0.0 |
| Belirtilen gün sayısı içinde süresi dolan sertifikalar içeren Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen depodaki sertifikaların parametre olarak verilen gün sayısı için son kullanma tarihi aralık dışındaysa makineler uyumlu değil. İlke ayrıca yalnızca belirli sertifikaları denetleme veya belirli sertifikaları dışlama ve süresi dolan sertifikaların raporlanıp raporlanmayacağını belirtme seçeneği sunar. | auditIfNotExists | 2.0.0 |
| Güvenilen Kökte belirtilen sertifikaları içermeyen Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine Güvenilen Kök sertifika deposu (Cert:\LocalMachine\Root) ilke parametresi tarafından listelenen bir veya daha fazla sertifika içermiyorsa makineler uyumlu değildir. | auditIfNotExists | 3.0.0 |
| Parola yaşı üst sınırı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola yaşı üst sınırı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En fazla parola yaşı için varsayılan değer 70 gündür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| En düşük parola yaşı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola yaşı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En düşük parola yaşı için varsayılan değer 1 gündür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Parola karmaşıklığı ayarı etkin olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola karmaşıklığı ayarı etkin olmayan Windows makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Belirtilen Windows PowerShell yürütme ilkesine sahip olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Windows PowerShell komutu Get-ExecutionPolicy ilke parametresinde seçilenden farklı bir değer döndürürse makineler uyumlu değil. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Belirtilen Windows PowerShell modülleri yüklü olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. PsModulePath ortam değişkeni tarafından belirtilen bir konumda modül kullanılamıyorsa makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makineleri uyumlu değildir. En düşük parola uzunluğu için varsayılan değer 14 karakterdir | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Belirtilen uygulamaların yüklü olmadığı Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Uygulama adı aşağıdaki kayıt defteri yollarından birinde bulunamazsa makineler uyumlu değildir: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Yönetici istrators grubunda fazladan hesapları olan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Yerel Yönetici istrators grubu ilke parametresinde listelenmeyen üyeler içeriyorsa makineler uyumlu değildir. | auditIfNotExists | 2.0.0 |
| Belirtilen gün sayısı içinde yeniden başlatılmamış Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Win32_Operatingsystem sınıfında LastBootUpTime WMI özelliği ilke parametresi tarafından sağlanan gün aralığının dışındaysa makineler uyumsuzdur. | auditIfNotExists | 2.0.0 |
| Belirtilen uygulamaların yüklü olduğu Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Uygulama adı aşağıdaki kayıt defteri yollarından birinde bulunursa makineler uyumlu değildir: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Yönetici istrators grubunda belirtilen üyelere sahip Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Yerel Yönetici istrators grubu ilke parametresinde listelenen üyelerden birini veya daha fazlasını içeriyorsa makineler uyumlu değil. | auditIfNotExists | 2.0.0 |
| Bekleyen yeniden başlatma ile Windows VM'lerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine aşağıdaki nedenlerden herhangi biri nedeniyle yeniden başlatma bekliyorsa makineler uyumlu değildir: bileşen tabanlı hizmet, Windows Update, bekleyen dosya yeniden adlandırma, bekleyen bilgisayar yeniden adlandırma, yapılandırma yöneticisi yeniden başlatmayı bekliyor. Her algılamanın benzersiz bir kayıt defteri yolu vardır. | auditIfNotExists | 2.0.0 |
| Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir | SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Yerel kullanıcıları devre dışı bırakmak için Linux Server'ı yapılandırın. | Linux Server'da yerel kullanıcıları devre dışı bırakmayı yapılandırmak için bir Konuk Yapılandırması ataması oluşturur. Bu, Linux Sunucularına yalnızca AAD (Azure Active Directory) hesabı veya bu ilke tarafından açıkça izin verilen kullanıcıların listesi tarafından erişilmesini sağlayarak genel güvenlik duruşunun iyileştirilmesini sağlar. | DeployIfNotExists, Devre Dışı | 1.3.0-önizleme |
| Windows makinelerinde güvenli iletişim protokollerini (TLS 1.1 veya TLS 1.2) yapılandırma | Windows makinesinde belirtilen güvenli protokol sürümünü (TLS 1.1 veya TLS 1.2) yapılandırmak için bir Konuk Yapılandırması ataması oluşturur. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Windows makinelerinde saat dilimini yapılandırın. | Bu ilke, Windows sanal makinelerinde belirtilen saat dilimini ayarlamak için bir Konuk Yapılandırması ataması oluşturur. | deployIfNotExists | 2.1.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Linux makinelerinde Azure Arc'ta Log Analytics aracısının yüklü olması gerekir | Log Analytics aracısı Azure Arc özellikli Linux sunucusunda yüklü değilse makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Linux makineleri Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.2.0 |
| Linux makinelerinin yalnızca izin verilen yerel hesapları olmalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Azure Active Directory kullanarak kullanıcı hesaplarını yönetmek, kimlik yönetimi için en iyi yöntemdir. Yerel makine hesaplarının azaltılması, merkezi bir sistem dışında yönetilen kimliklerin çoğalmasını önlemeye yardımcı olur. Etkinleştirilen ve ilke parametresinde listelenmeyen yerel kullanıcı hesapları varsa makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.2.0 |
| Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir. | Sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak varsayılan olarak bekleyenler olarak şifrelenir; kaynak diskleri (geçici diskler), veri önbellekleri ve İşlem ile Depolama kaynakları arasında akan veriler şifrelenmez. Düzeltmek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.2.1 |
| Linux makinelerinde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Linux sunucularında yerel kimlik doğrulama yöntemleri devre dışı bırakılmadıysa makineler uyumlu değildir. Bu, Linux Sunucularına yalnızca AAD (Azure Active Directory) hesabı veya bu ilke tarafından açıkça izin verilen kullanıcıların listesi tarafından erişilebildiğini doğrulamak ve genel güvenlik duruşu geliştirmektir. | AuditIfNotExists, Devre Dışı | 1.2.0-önizleme |
| Yerel kimlik doğrulama yöntemleri Windows Sunucularında devre dışı bırakılmalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Windows sunucularında yerel kimlik doğrulama yöntemleri devre dışı bırakılmadıysa makineler uyumlu değildir. Bu, Windows Server'lara yalnızca AAD (Azure Active Directory) hesabı veya bu ilke tarafından açıkça izin verilen kullanıcıların listesi tarafından erişilebildiğini doğrulamak ve genel güvenlik duruşu geliştirmektir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| Konuk Yapılandırması atamaları için özel uç noktalar etkinleştirilmelidir | Özel uç nokta bağlantıları, sanal makineler için Konuk Yapılandırmasına özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Sanal makineler 'EnablePrivateNetworkGC' etiketine sahip olmadığı sürece uyumlu olmayacaktır. Bu etiket, Sanal Makineler için Konuk Yapılandırması'na özel bağlantı aracılığıyla güvenli iletişimi zorlar. Özel bağlantı yalnızca bilinen ağlardan gelen trafiğe erişimi sınırlar ve Azure içindekiler de dahil olmak üzere diğer tüm IP adreslerinden erişimi engeller. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 4.1.1 |
| Windows makineleri, Windows Defender'ı koruma imzalarını bir gün içinde güncelleştirecek şekilde yapılandırmalıdır | Yeni yayımlanan kötü amaçlı yazılımlara karşı yeterli koruma sağlamak için, Windows Defender koruma imzalarının yeni yayımlanan kötü amaçlı yazılımları hesaba eklemek için düzenli olarak güncelleştirilmiş olması gerekir. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Windows makineleri Windows Defender Gerçek zamanlı korumayı etkinleştirmelidir | Windows makineleri, yeni yayımlanan kötü amaçlı yazılımlara karşı yeterli koruma sağlamak için Windows Defender'da Gerçek zamanlı korumayı etkinleştirmelidir. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Windows makinelerinde Azure Arc'ta Log Analytics aracısı yüklü olmalıdır | Log Analytics aracısı Azure Arc özellikli Windows Server'da yüklü değilse makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Windows makineleri 'Yönetici istrative Templates - Denetim Masası' gereksinimlerini karşılamalıdır | Windows makineleri, giriş kişiselleştirme ve kilit ekranlarını etkinleştirmeyi önleme amacıyla 'Yönetici istrative Templates - Denetim Masası' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Yönetici istrative Templates - MSS (Eski)' gereksinimlerini karşılamalıdır | Windows makineleri otomatik oturum açma, ekran koruyucu, ağ davranışı, güvenli DLL ve olay günlüğü için 'Yönetici istrative Templates - MSS (Eski)' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Yönetici istrative Templates - Network' gereksinimlerini karşılamalıdır | Windows makineleri konuk oturum açma işlemleri, eşzamanlı bağlantılar, ağ köprüsü, ICS ve çok noktaya yayın ad çözümlemesi için 'Yönetici istrative Templates - Network' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Yönetici istrative Templates - System' gereksinimlerini karşılamalıdır | Windows makineleri, yönetim deneyimini ve Uzaktan Yardım'ı denetleen ayarlar için 'Yönetici istrative Templates - System' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Hesaplar' gereksinimlerini karşılamalıdır | Windows makineleri, boş parolaların ve konuk hesabı durumunun yerel hesap kullanımını sınırlamak için 'Güvenlik Seçenekleri - Hesaplar' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Denetim' gereksinimlerini karşılamalıdır | Windows makineleri, denetim ilkesi alt kategorisini zorlamak ve güvenlik denetimlerini günlüğe kaydedemezse kapatmak için 'Güvenlik Seçenekleri - Denetim' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Cihazlar' gereksinimlerini karşılamalıdır | Windows makineleri oturum açmadan çıkarma, yazdırma sürücülerini yükleme ve medyayı biçimlendirme/çıkarma için 'Güvenlik Seçenekleri - Cihazlar' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Etkileşimli Oturum Açma' gereksinimlerini karşılamalıdır | Windows makineleri, son kullanıcı adını görüntülemek ve ctrl-alt-del gerektiren 'Güvenlik Seçenekleri - Etkileşimli Oturum Açma' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Microsoft Ağ İstemcisi' gereksinimlerini karşılamalıdır | Windows makineleri, Microsoft ağ istemcisi/sunucusu ve SMB v1 için 'Güvenlik Seçenekleri - Microsoft Ağ İstemcisi' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Microsoft Ağ Sunucusu' gereksinimlerini karşılamalıdır | Windows makineleri, SMB v1 sunucusunu devre dışı bırakmak için 'Güvenlik Seçenekleri - Microsoft Ağ Sunucusu' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Ağ Erişimi' gereksinimlerini karşılamalıdır | Windows makineleri anonim kullanıcılar, yerel hesaplar ve kayıt defterine uzaktan erişim dahil olmak üzere 'Güvenlik Seçenekleri - Ağ Erişimi' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Ağ Güvenliği' gereksinimlerini karşılamalıdır | Windows makinelerinde Yerel Sistem davranışı, PKU2U, LAN Yöneticisi, LDAP istemcisi ve NTLM SSP dahil olmak üzere 'Güvenlik Seçenekleri - Ağ Güvenliği' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Kurtarma konsolu' gereksinimlerini karşılamalıdır | Windows makineleri, disket kopyalamaya ve tüm sürücü ve klasörlere erişime izin vermek için 'Güvenlik Seçenekleri - Kurtarma konsolu' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Kapatma' gereksinimlerini karşılamalıdır | Windows makineleri, oturum açmadan kapatmaya ve sanal bellek disk belleği dosyasını temizlemeye izin vermek için 'Güvenlik Seçenekleri - Kapatma' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Sistem nesneleri' gereksinimlerini karşılamalıdır | Windows dışı alt sistemler için büyük/küçük harf duyarsızlığı ve iç sistem nesnelerinin izinleri için Windows makinelerinin 'Güvenlik Seçenekleri - Sistem nesneleri' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Sistem ayarları' gereksinimlerini karşılamalıdır | Windows makineleri, SRP ve isteğe bağlı alt sistemler için yürütülebilir dosyalardaki sertifika kuralları için 'Güvenlik Seçenekleri - Sistem ayarları' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Kullanıcı Hesabı Denetimi' gereksinimlerini karşılamalıdır | Windows makineleri yöneticiler için mod, yükseltme istemi davranışı ve dosya ile kayıt defteri yazma hatalarını sanallaştırma için 'Güvenlik Seçenekleri - Kullanıcı Hesabı Denetimi' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Güvenlik Ayarlar - Hesap İlkeleri' gereksinimlerini karşılamalıdır | Windows makinelerinin parola geçmişi, yaşı, uzunluğu, karmaşıklığı ve ters çevrilebilir şifreleme kullanarak parolaları depolamak için 'Güvenlik Ayarlar - Hesap İlkeleri' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - Hesap Oturum Açma' gereksinimlerini karşılamalıdır | Windows makineleri, kimlik bilgisi doğrulaması ve diğer hesap oturum açma olaylarını denetlemek için 'Sistem Denetim İlkeleri - Hesap Oturumu Açma' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - Hesap Yönetimi' gereksinimlerini karşılamalıdır | Windows makinelerinin uygulama, güvenlik ve kullanıcı grubu yönetimi ve diğer yönetim olaylarını denetlemek için 'Sistem Denetimi İlkeleri - Hesap Yönetimi' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - Ayrıntılı İzleme' gereksinimlerini karşılamalıdır | Windows makineleri DPAPI, işlem oluşturma/sonlandırma, RPC olayları ve PNP etkinliğini denetlemek için 'Sistem Denetim İlkeleri - Ayrıntılı İzleme' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - Oturum Açma-Kapatma' gereksinimlerini karşılamalıdır | Windows makineleri IPSec, ağ ilkesi, talepler, hesap kilitleme, grup üyeliği ve oturum açma/kapatma olaylarını denetlemek için 'Sistem Denetim İlkeleri - Oturum Açma-Kapatma' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - Nesne Erişimi' gereksinimlerini karşılamalıdır | Windows makineleri, denetim dosyası, kayıt defteri, SAM, depolama, filtreleme, çekirdek ve diğer sistem türleri için 'Sistem Denetim İlkeleri - Nesne Erişimi' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - İlke Değişikliği' gereksinimlerini karşılamalıdır | Windows makineleri, sistem denetim ilkelerindeki değişiklikleri denetlemek için 'Sistem Denetimi İlkeleri - İlke Değişikliği' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - Ayrıcalık Kullanımı' gereksinimlerini karşılamalıdır | Windows makineleri, duyarsız ve diğer ayrıcalık kullanımlarını denetlemek için 'Sistem Denetim İlkeleri - Ayrıcalık Kullanımı' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Sistem Denetim İlkeleri - Sistem' gereksinimlerini karşılamalıdır | Windows makineleri IPsec sürücüsünü, sistem bütünlüğünü, sistem uzantısını, durum değişikliğini ve diğer sistem olaylarını denetlemek için 'Sistem Denetim İlkeleri - Sistem' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Kullanıcı Hakları Ataması' gereksinimlerini karşılamalıdır | Windows makineleri yerel olarak oturum açmaya, RDP'ye, ağdan erişime ve diğer birçok kullanıcı etkinliğine izin vermek için 'Kullanıcı Hakları Ataması' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Windows Bileşenleri' gereksinimlerini karşılamalıdır | Windows makineleri temel kimlik doğrulaması, şifrelenmemiş trafik, Microsoft hesapları, telemetri, Cortana ve diğer Windows davranışları için 'Windows Bileşenleri' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri 'Windows Güvenlik Duvarı Özellikleri' gereksinimlerini karşılamalıdır | Windows makineleri, güvenlik duvarı durumu, bağlantılar, kural yönetimi ve bildirimler için 'Windows Güvenlik Duvarı Özellikleri' kategorisinde belirtilen Grup İlkesi ayarlarına sahip olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Windows makinelerinin yalnızca izin verilen yerel hesapları olmalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Bu tanım Windows Server 2012 veya 2012 R2'de desteklenmez. Azure Active Directory kullanarak kullanıcı hesaplarını yönetmek, kimlik yönetimi için en iyi yöntemdir. Yerel makine hesaplarının azaltılması, merkezi bir sistem dışında yönetilen kimliklerin çoğalmasını önlemeye yardımcı olur. Etkinleştirilen ve ilke parametresinde listelenmeyen yerel kullanıcı hesapları varsa makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Windows makineleri, Windows Defender'ı her gün zamanlanmış tarama gerçekleştirecek şekilde zamanlamalıdır | Kötü amaçlı yazılımların hızlı algılanmasını sağlamak ve sisteminiz üzerindeki etkisini en aza indirmek için, Windows Defender'a sahip Windows makinelerinin günlük tarama zamanlamaları önerilir. Lütfen Windows Defender'ın desteklendiğinden, cihaza önceden yüklendiğinden ve Konuk Yapılandırması önkoşullarının dağıtıldığından emin olun. Bu gereksinimlerin karşılanmaması yanlış değerlendirme sonuçlarına neden olabilir. Konuk Yapılandırması hakkında daha fazla bilgi için bkz https://aka.ms/gcpol. . | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Windows makineleri varsayılan NTP sunucusunu kullanmalıdır | Tüm sistemlerdeki günlüklerin eşitlenmiş sistem saatlerine sahip olduğundan emin olmak için tüm Windows makineleri için varsayılan NTP Sunucusu olarak 'time.windows.com' ayarlayın. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir. | Sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak varsayılan olarak bekleyenler olarak şifrelenir; kaynak diskleri (geçici diskler), veri önbellekleri ve İşlem ile Depolama kaynakları arasında akan veriler şifrelenmez. Düzeltmek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.1.1 |
HDInsight
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure HDInsight kümeleri bir sanal ağa eklenmiş olmalıdır | Sanal ağa Azure HDInsight kümeleri eklemek, gelişmiş HDInsight ağ ve güvenlik özelliklerinin kilidini açar ve ağ güvenlik yapılandırmanız üzerinde denetim sağlar. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Azure HDInsight kümeleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure HDInsight kümelerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/hdi.cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure HDInsight kümeleri bekleyen verileri şifrelemek için konakta şifreleme kullanmalıdır | Konakta şifrelemeyi etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirmek için verilerinizin korunmasına ve korunmasına yardımcı olur. Konakta şifrelemeyi etkinleştirdiğinizde, VM ana bilgisayarında depolanan veriler bekleme durumunda şifrelenir ve Depolama hizmetine akışlar şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure HDInsight kümeleri, Azure HDInsight küme düğümleri arasındaki iletişimi şifrelemek için aktarım sırasında şifreleme kullanmalıdır | Azure HDInsight küme düğümleri arasında iletim sırasında verilerle oynanabilir. Aktarımda şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını giderir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure HDInsight özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure HDInsight kümelerine eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/hdi.pl | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure HDInsight kümelerini özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure HDInsight kümelerine çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/hdi.pl. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure HDInsight kümelerini özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure HDInsight kümelerine eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/hdi.pl | DeployIfNotExists, Devre Dışı | 1.0.0 |
Health Bot
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Health Botları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Sağlık botlarınızın kalan verilerinde şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları (CMK) kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle CMK gereklidir. CMK, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/health-bot/cmk | Denetim, Devre Dışı | 1.0.0 |
Health Data Services çalışma alanı
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Health Data Services çalışma alanı özel bağlantı kullanmalıdır | Health Data Services çalışma alanının en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/healthcareapisprivatelink. | Denetim, Devre Dışı | 1.0.0 |
Sağlık API'leri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| CORS, her etki alanının FHIR Hizmetinize erişmesine izin vermemelidir | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının FHIR Hizmetinize erişmesine izin vermemelidir. FHIR Hizmetinizi korumak için tüm etki alanları için erişimi kaldırın ve bağlanmasına izin verilen etki alanlarını açıkça tanımlayın. | denetim, Denetim, devre dışı, Devre dışı | 1.1.0 |
| DICOM Hizmeti bekleyen verileri şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Bu bir mevzuat veya uyumluluk gereksinimi olduğunda Azure Health Data Services DICOM Hizmeti'nde depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla yapılan varsayılanın üzerine ikinci bir şifreleme katmanı ekleyerek de çift şifreleme sağlar. | Denetim, Devre Dışı | 1.0.0 |
| FHIR Hizmeti bekleyen verileri şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Bu bir mevzuat veya uyumluluk gereksinimi olduğunda Azure Health Data Services FHIR Hizmetinde depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla yapılan varsayılanın üzerine ikinci bir şifreleme katmanı ekleyerek de çift şifreleme sağlar. | Denetim, Devre Dışı | 1.0.0 |
Nesnelerin İnterneti
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure IoT Hub bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtar kullanmalıdır | IoT Hub'da bekleyen verilerin müşteri tarafından yönetilen anahtarla şifrelenmesi, varsayılan hizmet tarafından yönetilen anahtarların üzerine ikinci bir şifreleme katmanı ekler, müşterilerin anahtar denetimine, özel döndürme ilkelerine ve anahtar erişim denetimi aracılığıyla verilere erişimi yönetmesine olanak tanır. Müşteri tarafından yönetilen anahtarların IoT Hub oluşturulurken yapılandırılması gerekir. Müşteri tarafından yönetilen anahtarları yapılandırma hakkında daha fazla bilgi için bkz https://aka.ms/iotcmk. . | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: IoT Hub cihaz sağlama hizmeti verileri müşteri tarafından yönetilen anahtarlar (CMK) kullanılarak şifrelenmelidir | IoT Hub cihaz sağlama hizmetinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Bekleyen veriler hizmet tarafından yönetilen anahtarlarla otomatik olarak şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/dps/CMK. . | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| Azure Cihaz Güncelleştirme hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtar kullanmalıdır | Azure Cihaz Güncelleştirmesi'nde bekleyen verilerin müşteri tarafından yönetilen anahtarla şifrelenmesi, varsayılan hizmet tarafından yönetilen anahtarların üzerine ikinci bir şifreleme katmanı ekler, müşterilerin anahtar denetimine, özel döndürme ilkelerine ve anahtar erişim denetimi aracılığıyla verilere erişimi yönetmesine olanak tanır. Daha fazla bilgi için:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| IoT Hub hesapları için Azure Cihaz Güncelleştirmesi özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub hesapları için Azure Cihaz Güncelleştirmesi'ne eşleyerek veri sızıntısı riskleri azalır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure IoT Hub'da Hizmet Api'leri için yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure IoT Hub'ın yalnızca Service Api kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/iothubdisablelocalauth. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için IoT Hub hesapları için Azure Cihaz Güncelleştirmesi'ni yapılandırma | Genel ağ erişim özelliğini devre dışı bırakmak, IoT Hub için Cihaz Güncelleştirmenize yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu ilke, IoT Hub kaynakları için Cihaz Güncelleştirmesi'nde genel ağ erişimini devre dışı bırakır. | Değiştir, Devre Dışı | 1.0.0 |
| IoT Hub hesapları için Azure Cihaz Güncelleştirmesi'ni özel DNS bölgelerini kullanacak şekilde yapılandırma | Azure Özel DNS, özel dns çözümü eklemeye gerek kalmadan sanal ağdaki etki alanı adlarını yönetmek ve çözümlemek için güvenilir, güvenli bir DNS hizmeti sağlar. Özel bir uç nokta için kendi özel etki alanı adlarınızı kullanarak DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanabilirsiniz. Bu ilke, IoT Hub özel uç noktaları için Cihaz Güncelleştirmesi için özel bir DNS Bölgesi dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Özel uç nokta ile IoT Hub hesapları için Azure Cihaz Güncelleştirmesi'ni yapılandırma | Özel uç nokta, bir Azure kaynağına ulaşılabilen, müşteriye ait bir sanal ağ içinde ayrılan özel bir IP adresidir. Bu ilke, sanal ağınızdaki hizmetlerin IoT Hub'ın genel uç noktası için Cihaz Güncelleştirmesi'ne trafik gönderilmesine gerek kalmadan bu kaynağa erişmesine izin vermek üzere IoT hub'ı için Cihaz Güncelleştirmeniz için özel bir uç nokta dağıtır. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Azure IoT Hub'ı yapılandırma | Azure IoT Hub'ınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/iothubdisablelocalauth. | Değiştir, Devre Dışı | 1.0.0 |
| IoT Hub cihaz sağlama örneklerini özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, ioT Hub cihazı sağlama hizmeti örneğine çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için IoT Hub cihaz sağlama hizmeti örneklerini yapılandırma | IoT Hub cihaz sağlama örneğinizin genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/iotdpsvnet. | Değiştir, Devre Dışı | 1.0.0 |
| IoT Hub cihaz sağlama hizmeti örneklerini özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıtma - Azure IoT Hubs'ı özel DNS bölgelerini kullanacak şekilde yapılandırma | Azure Özel DNS, özel dns çözümü eklemeye gerek kalmadan sanal ağdaki etki alanı adlarını yönetmek ve çözümlemek için güvenilir, güvenli bir DNS hizmeti sağlar. Özel bir uç nokta için kendi özel etki alanı adlarınızı kullanarak DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanabilirsiniz. Bu ilke, IoT Hub özel uç noktaları için özel bir DNS Bölgesi dağıtır. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Dağıtma - Azure IoT Hubs'ı özel uç noktalarla yapılandırma | Özel uç nokta, bir Azure kaynağına ulaşılabilen, müşteriye ait bir sanal ağ içinde ayrılan özel bir IP adresidir. Bu ilke, trafiğin IoT Hub'ın genel uç noktasına gönderilmesine gerek kalmadan sanal ağınızdaki hizmetlerin IoT Hub'a ulaşmasını sağlamak için IoT hub'ınız için özel bir uç nokta dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıtma - IoT Central'ı özel DNS bölgelerini kullanacak şekilde yapılandırma | Azure Özel DNS, özel dns çözümü eklemeye gerek kalmadan sanal ağdaki etki alanı adlarını yönetmek ve çözümlemek için güvenilir, güvenli bir DNS hizmeti sağlar. Özel bir uç nokta için kendi özel etki alanı adlarınızı kullanarak DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanabilirsiniz. Bu ilke, IoT Central özel uç noktaları için özel bir DNS Bölgesi dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıtma - IoT Central'ı özel uç noktalarla yapılandırma | Özel uç nokta, bir Azure kaynağına ulaşılabilen, müşteriye ait bir sanal ağ içinde ayrılan özel bir IP adresidir. Bu ilke, trafiğin IoT Central'ın genel uç noktasına gönderilmesine gerek kalmadan sanal ağınızdaki hizmetlerin IoT Central'a ulaşmasını sağlamak için IoT Central'ınız için özel bir uç nokta dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| IoT Central özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine IoT Central uygulamanıza eşleyerek veri sızıntısı risklerinizi azaltmış olursunuz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotcentral-network-security-using-pe | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, IoT Hub cihaz sağlama hizmeti örneğinin genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak, IoT Hub cihaz sağlama örneklerinin açıklanma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/iotdpsvnet. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Değiştir - Azure IoT Hubs'ı genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel ağ erişim özelliğini devre dışı bırakmak, Azure IoT Hub'ınıza yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu ilke, IoT Hub kaynaklarına genel ağ erişimini devre dışı bırakır. | Değiştir, Devre Dışı | 1.0.0 |
| Değiştir - Genel ağ erişimini devre dışı bırakmak için IoT Central'ı yapılandırma | Genel ağ erişim özelliğini devre dışı bırakmak, IoT Central'ınıza yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu ilke, IoT Hub kaynaklarına genel ağ erişimini devre dışı bırakır. | Değiştir, Devre Dışı | 1.0.0 |
| IoT Hub için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, IoT Hub'a özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | Denetim, Devre Dışı | 1.0.0 |
| IoT Hub hesapları için Azure Cihaz Güncelleştirmesi genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğini devre dışı bırakmak, IoT Hub hesapları için Azure Cihaz Güncelleştirmesi'ne yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure IoT Hub'da genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğini devre dışı bırakmak, Azure IoT Hub'ınıza yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| IoT Central için genel ağ erişimi devre dışı bırakılmalıdır | IoT Central'ın güvenliğini geliştirmek için genel İnternet'e açık olmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/iotcentral-restrict-public-accessgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| IoT Hub'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 3.1.0 |
Key Vault
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Key Vault Yönetilen HSM anahtarlarının son kullanma tarihi olmalıdır | Bu ilkeyi önizlemede kullanmak için, önce adresinde https://aka.ms/mhsmgovernancebu yönergeleri izlemeniz gerekir. Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM Anahtarlarının süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir | Bu ilkeyi önizlemede kullanmak için, önce adresinde https://aka.ms/mhsmgovernancebu yönergeleri izlemeniz gerekir. Anahtarın süresi dolmaya çok yakınsa, anahtarı döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Anahtarlar, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. | Denetim, Reddetme, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Üç nokta eğri şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen eğri adlarına sahip olmalıdır | Bu ilkeyi önizlemede kullanmak için, önce adresinde https://aka.ms/mhsmgovernancebu yönergeleri izlemeniz gerekir. Elips eğrisi şifrelemesi tarafından desteklenen anahtarların farklı eğri adları olabilir. Bazı uygulamalar yalnızca belirli üç nokta eğrisi tuşlarıyla uyumludur. Ortamınızda oluşturulmasına izin verilen üç nokta eğrisi anahtarı türlerini zorunlu kılın. | Denetim, Reddetme, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: RSA şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen en düşük anahtar boyutuna sahip olmalıdır | Bu ilkeyi önizlemede kullanmak için, önce adresinde https://aka.ms/mhsmgovernancebu yönergeleri izlemeniz gerekir. Anahtar kasalarınızla kullanmak için izin verilen en düşük anahtar boyutunu ayarlayın. Küçük anahtar boyutlarına sahip RSA anahtarlarının kullanımı güvenli bir uygulama değildir ve birçok endüstri sertifikası gereksinimlerini karşılamaz. | Denetim, Reddetme, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM genel ağ erişimini devre dışı bırakmalıdır | Genel İnternet üzerinden erişilmemesi için Azure Key Vault Yönetilen HSM'niz için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM özel bağlantı kullanmalıdır | Özel bağlantı, genel İnternet üzerinden trafik göndermeden Azure Key Vault Yönetilen HSM'yi Azure kaynaklarınıza bağlamanın bir yolunu sağlar. Özel bağlantı, veri sızdırmaya karşı derinlemesine koruma sağlar. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Sertifikalar, belirtilen tümleşik olmayan sertifika yetkililerinden biri tarafından verilmelidir | Anahtar kasanızda sertifika düzenleyebilen özel veya iç sertifika yetkilileri belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM'yi genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel İnternet üzerinden erişilmemesi için Azure Key Vault Yönetilen HSM'niz için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Değiştir, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM'yi özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure Key Vault Yönetilen HSM'ye eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| Azure Key Vault Yönetilen HSM'de temizleme koruması etkinleştirilmelidir | Azure Key Vault Yönetilen HSM'sinin kötü amaçlı silinmesi kalıcı veri kaybına yol açabilir. Kuruluşunuzdaki kötü amaçlı bir insider, Azure Key Vault Yönetilen HSM'lerini silebilir ve temizleyebilir. Temizleme koruması, geçici olarak silinen Azure Key Vault Yönetilen HSM için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse Azure Key Vault Yönetilen HSM'nizi temizleyemez. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Key Vault genel ağ erişimini devre dışı bırakmalıdır | Anahtar kasanızın genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/akvprivatelink. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
| Azure Key Vault RBAC izin modelini kullanmalıdır | Key Vault'lar arasında RBAC izin modelini etkinleştirin. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Sertifikalar belirtilen tümleşik sertifika yetkilisi tarafından verilmelidir | Digicert veya GlobalSign gibi anahtar kasanızda sertifika düzenleyebilen Azure tümleşik sertifika yetkililerini belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Sertifikalar, belirtilen tümleşik olmayan sertifika yetkilisi tarafından verilmelidir | Anahtar kasanızda sertifika düzenleyebilen bir özel veya iç sertifika yetkilisi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.1 |
| Sertifikaların belirtilen yaşam süresi eylem tetikleyicileri olmalıdır | Sertifika yaşam süresi eyleminin ömrünün belirli bir yüzdesiyle mi yoksa süresi dolmadan belirli sayıda gün önce mi tetikleneceğini belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Sertifikanın anahtar kasanızda geçerli olabileceği maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.2.1 |
| Sertifikaların süresi belirtilen gün sayısı içinde dolmamalıdır | Kuruluşunuzun süresi dolmadan önce sertifikayı döndürmek için yeterli zamanı olduğundan emin olmak için belirtilen sayıda gün içinde süresi dolacak sertifikaları yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.1 |
| Sertifikalar izin verilen anahtar türlerini kullanmalıdır | Sertifikalar için izin verilen anahtar türlerini kısıtlayarak kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Üç nokta eğrisi şifrelemesi kullanan sertifikalar, eğri adlarına izin vermelidir | Anahtar kasasında depolanan ECC Sertifikaları için izin verilen üç nokta eğrisi adlarını yönetin. Daha fazla bilgi için bkz. https://aka.ms/akvpolicy. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| RSA şifrelemesi kullanan sertifikalar belirtilen en düşük anahtar boyutuna sahip olmalıdır | Anahtar kasanızda depolanan RSA sertifikaları için en düşük anahtar boyutunu belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Azure Key Vault'ları özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, anahtar kasasına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/akvprivatelink. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Azure Key Vault'ları özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Güvenlik duvarını etkinleştirmek için anahtar kasalarını yapılandırma | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. Daha sonra bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Değiştir, Devre Dışı | 1.1.1 |
| Dağıtma - Azure Key Vault'tan Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Key Vault oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Azure Key Vault tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.1 |
| Dağıtma - Azure Key Vault Yönetilen HSM'de etkinleştirilecek bir Olay Hub'ına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Azure Key Vault Yönetilen HSM oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Azure Key Vault Yönetilen HSM için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Key Vault için Tanılama Ayarlar Olay Hub'ına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Key Vault oluşturulduğunda veya güncelleştirildiğinde, Key Vault'un bölgesel bir Olay Hub'ına akışla aktarılacağı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.1 |
| Key Vault anahtarlarının son kullanma tarihi olmalıdır | Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Key Vault gizli dizilerinin son kullanma tarihi olmalıdır | Gizli dizilerin tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli dizilerde son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Anahtar kasalarında silme koruması etkinleştirilmelidir | Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Anahtar kasalarında geçici silme etkinleştirilmelidir | Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Anahtarlar bir donanım güvenlik modülü (HSM) tarafından desteklenmelidir | HSM, anahtarları depolayan bir donanım güvenlik modülüdür. HSM, şifreleme anahtarları için fiziksel bir koruma katmanı sağlar. Şifreleme anahtarı, yazılım anahtarından daha yüksek bir güvenlik düzeyi sağlayan fiziksel bir HSM'den ayrılamaz. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen şifreleme türü RSA veya EC olmalıdır | Bazı uygulamalar belirli bir şifreleme türü tarafından yedeklenen anahtarların kullanılmasını gerektirir. Ortamınızda belirli bir şifreleme anahtarı türünü (RSA veya EC) zorunlu tutun. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar, döndürmelerinin oluşturulduktan sonraki belirtilen gün sayısı içinde zamanlandığından emin olan bir döndürme ilkesine sahip olmalıdır. | Anahtar oluşturma işleminden sonra döndürülecek en fazla gün sayısını belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Devre Dışı | 1.0.0 |
| Anahtarların süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir | Anahtarın süresi dolmaya çok yakınsa, anahtarı döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Anahtarlar, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Anahtar kasanızda anahtarın geçerli olabileceği gün cinsinden maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen gün sayısından daha uzun süre etkin olmamalıdır | Bir anahtarın etkin olacağı gün sayısını belirtin. Uzun süre kullanılan anahtarlar, saldırganın anahtarı tehlikeye atma olasılığını artırır. İyi bir güvenlik uygulaması olarak anahtarlarınızın iki yıldan uzun süre etkin olmadığından emin olun. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Üç nokta eğrisi şifrelemesi kullanan anahtarlar belirtilen eğri adlara sahip olmalıdır | Elips eğrisi şifrelemesi tarafından desteklenen anahtarların farklı eğri adları olabilir. Bazı uygulamalar yalnızca belirli üç nokta eğrisi tuşlarıyla uyumludur. Ortamınızda oluşturulmasına izin verilen üç nokta eğrisi anahtarı türlerini zorunlu kılın. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| RSA şifrelemesi kullanan anahtarlar belirtilen en düşük anahtar boyutuna sahip olmalıdır | Anahtar kasalarınızla kullanmak için izin verilen en düşük anahtar boyutunu ayarlayın. Küçük anahtar boyutlarına sahip RSA anahtarlarının kullanımı güvenli bir uygulama değildir ve birçok endüstri sertifikası gereksinimlerini karşılamaz. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Key Vault Yönetilen HSM'deki kaynak günlükleri etkinleştirilmelidir | Bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmak için Yönetilen HSM'lerde kaynak günlüklerini etkinleştirerek denetim yapmak isteyebilirsiniz. Lütfen buradaki yönergeleri izleyin: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Gizli dizilerde içerik türü ayarlanmalıdır | İçerik türü etiketi, gizli dizilerin parola, bağlantı dizesi vb. olup olmadığını belirlemeye yardımcı olur. Farklı gizli dizilerin farklı döndürme gereksinimleri vardır. İçerik türü etiketi gizli diziler üzerinde ayarlanmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli dizilerin süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir | Gizli dizi süre sonu için çok yakınsa, gizli diziyi döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Gizli diziler, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli diziler belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Bir gizli anahtarın anahtar kasanızda geçerli olabileceği en uzun süreyi gün cinsinden belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli diziler belirtilen gün sayısından daha uzun süre etkin olmamalıdır | Gizli dizileriniz gelecekte ayarlanmış bir etkinleştirme tarihiyle oluşturulduysa, gizli dizilerinizin belirtilen sürenin üzerinde etkin olmadığından emin olmanız gerekir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Kubernetes
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: [Görüntü Bütünlüğü] Kubernetes kümeleri yalnızca gösterimle imzalanan görüntüleri kullanmalıdır | Görüntülerin güvenilir kaynaklardan geldiğinden ve kötü amaçlı olarak değiştirilmediğinden emin olmak için gösterimi tarafından imzalanan görüntüleri kullanın. Daha fazla bilgi için https://aka.ms/aks/image-integrity | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Tek Tek Düğümler Düzenlenemiyor | Tek tek düğümler düzenlenemiyor. Kullanıcılar tek tek düğümleri düzenlememelidir. Lütfen düğüm havuzlarını düzenleyin. Düğümleri tek tek değiştirmek tutarsız ayarlara, işletimsel zorluklara ve olası güvenlik risklerine yol açabilir. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerini Bulut için Microsoft Defender uzantısını yükleyecek şekilde yapılandırma | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | DeployIfNotExists, Devre Dışı | 7.1.0-önizleme |
| [Önizleme]: Azure Kubernetes Service'te Görüntü Bütünlüğünü Dağıtma | Hem Görüntü Bütünlüğü hem de İlke Eklentileri Azure Kubernetes kümelerini dağıtın. Daha fazla bilgi için https://aka.ms/aks/image-integrity | DeployIfNotExists, Devre Dışı | 1.0.5-önizleme |
| [Önizleme]: Kubernetes kümesi kapsayıcı görüntüleri preStop kancasını içermelidir | Pod kapatma işlemleri sırasında işlemleri düzgün bir şekilde sonlandırmak için kapsayıcı görüntülerinin bir preStop kancası içermesini gerektirir. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kubernetes kümesi kapsayıcı görüntüleri en son görüntü etiketini içermemelidir | Kapsayıcı görüntülerinin Kubernetes'te en son etiketi kullanmamasını gerektirir; yeniden üretilebilirliği sağlamak, istenmeyen güncelleştirmeleri önlemek ve açık ve sürüme alınmış kapsayıcı görüntülerini kullanarak daha kolay hata ayıklama ve geri alma işlemlerini kolaylaştırmak en iyi yöntemdir. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcıları yalnızca görüntü çekme gizli dizileri mevcut olduğunda görüntüleri çekmelidir | Kapsayıcıların görüntü çekmelerini kısıtlayarak ImagePullSecrets varlığını zorunlu kılma ve Kubernetes kümesi içindeki görüntülere güvenli ve yetkili erişim sağlama | Denetim, Reddetme, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes küme hizmetleri benzersiz seçiciler kullanmalıdır | Ad Alanı içindeki Hizmetlerin Benzersiz Seçicileri Olduğundan Emin Olun. Benzersiz bir hizmet seçici, bir ad alanı içindeki her hizmetin belirli ölçütlere göre benzersiz olarak tanımlanabilir olmasını sağlar. Bu ilke, giriş kaynaklarını Gatekeeper aracılığıyla OPA ile eşitler. Uygulamadan önce Ağ Geçidi Denetleyicisi podlarının bellek kapasitesinin aşılmayacağını doğrulayın. Parametreler belirli ad alanlarına uygulanır, ancak bu türün tüm kaynaklarını tüm ad alanları arasında eşitler. Şu anda Kubernetes Service (AKS) için önizleme aşamasındadır. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Kubernetes kümesi doğru Pod Kesintisi Bütçeleri uygulamalıdır | Hatalı Pod Kesintisi Bütçelerini önleyerek en az sayıda işlem podunun olmasını sağlar. Ayrıntılar için resmi Kubernetes belgelerine bakın. Ağ Geçidi Denetleyicisi veri çoğaltmasına dayanır ve kapsamı OPA olan tüm giriş kaynaklarını eşitler. Bu ilkeyi uygulamadan önce, eşitlenen giriş kaynaklarının bellek kapasitenizi zorlamadığından emin olun. Parametreler belirli ad alanlarını değerlendirse de, ad alanları arasında bu tür tüm kaynaklar eşitlenir. Not: Şu anda Kubernetes Service (AKS) için önizleme aşamasındadır. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Kubernetes kümeleri belirli bir kaynak türünün oluşturulmasını kısıtlamalıdır | Verilen Kubernetes kaynak türü belirli ad alanında dağıtılmamalıdır. | Denetim, Reddetme, Devre Dışı | 2.2.0-önizleme |
| [Önizleme]: Benzeşim Karşıtı Kuralları Ayarlanmış Olmalıdır | Bu ilke, podların küme içindeki farklı düğümlerde zamanlanmasını sağlar. Benzeşim önleme kuralları zorunlu tutularak, düğümlerden biri kullanılamaz duruma gelse bile kullanılabilirlik korunur. Podlar diğer düğümlerde çalışmaya devam ederek dayanıklılığı artırır. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: AKS'ye Özgü Etiket Yok | Müşterilerin AKS'ye özgü etiketler uygulamasını engeller. AKS, AKS'ye ait bileşenleri belirtmek için ön ekli kubernetes.azure.com etiketleri kullanır. Müşteri bu etiketleri kullanmamalıdır. |
Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Ayrılmış Sistem Havuzu Renk Tonları | CriticalAddonsOnly taint'i yalnızca sistem havuzuyla kısıtlar. AKS, müşteri podlarını sistem havuzundan uzak tutmak için CriticalAddonsOnly taint kullanır. AKS bileşenleri ile müşteri podları arasında net bir ayrım sağlar ve CriticalAddonsOnly taint'i tolere etmezlerse müşteri podlarının çıkarılmasını önler. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: CriticalAddonsOnly taint'i yalnızca sistem havuzuyla kısıtlar. | Kullanıcı uygulamalarının kullanıcı havuzlarından çıkarılmasını önlemek ve kullanıcı ile sistem havuzları arasındaki endişelerin ayrılmasını sağlamak için , 'CriticalAddonsOnly' taint'i kullanıcı havuzlarına uygulanmamalıdır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcıları CPU sınırlarını, mevcut olmaması veya sınırları aşmaması durumunda varsayılan değerlere ayarlar. | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU sınırlarını ayarlama. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcıları bellek sınırlarını, mevcut olmaması veya sınırları aşmaması durumunda varsayılan değerlere ayarlar. | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı bellek sınırlarını ayarlama. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: PodDisruptionBudget kaynakları için maxUnavailable podlarını 1 olarak ayarlar | Kullanılamayan en yüksek pod değerinizi 1 olarak ayarlamak, kesinti sırasında uygulamanızın veya hizmetinizin kullanılabilir olmasını sağlar | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Init kapsayıcılarındaki Pod belirtimindeki readOnlyRootFileSystem değerini ayarlanmadıysa true olarak ayarlar. | readOnlyRootFileSystem değerinin true olarak ayarlanması, kapsayıcıların kök dosya sistemine yazmasını engelleyerek güvenliği artırır. Bu yalnızca Linux kapsayıcıları için çalışır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Pod belirtimindeki readOnlyRootFileSystem değerini ayarlanmadıysa true olarak ayarlar. | readOnlyRootFileSystem değerini true olarak ayarlamak, kapsayıcıların kök dosya sistemine yazmasını engelleyerek güvenliği artırır | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır | Azure Arc için Azure İlkesi uzantısı, Arc özellikli Kubernetes kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar sağlar. https://aka.ms/akspolicydoc adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Azure Arc özellikli Kubernetes kümelerinde Open Service Mesh uzantısı yüklü olmalıdır | Açık Service Mesh uzantısı, uygulama hizmetlerinin güvenliği, trafik yönetimi ve gözlemlenebilirliği için tüm standart hizmet ağı özelliklerini sağlar. Daha fazla bilgi için bkz.: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Arc özellikli Kubernetes kümelerinde Strimzi Kafka uzantısı yüklü olmalıdır | Strimzi Kafka uzantısı, gerçek zamanlı veri işlem hatları oluşturmak ve güvenlik ve gözlemlenebilirlik özelliklerine sahip akış uygulamaları oluşturmak için Kafka'yı yüklemek için operatörler sağlar. Burada daha fazla bilgi edinin: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Kubernetes Kümeleri Kapsayıcı Depolama Arabirimini (CSI) etkinleştirmelidir | Kapsayıcı Depolama Arabirimi (CSI), Azure Kubernetes Service'te kapsayıcılı iş yüklerine rastgele blok ve dosya depolama sistemlerini kullanıma sunar. Daha fazla bilgi edinmek için https://aka.ms/aks-csi-driver | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Kümeleri Anahtar Yönetim Merkezi (KMS) etkinleştirmelidir | Kubernetes kümesi güvenliği için etcd'de bekleyen gizli dizi verilerini şifrelemek için Anahtar Yönetim Merkezi (KMS) kullanın. Daha fazla bilgi için: https://aka.ms/aks/kmsetcdencryption. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Kümeleri Azure CNI kullanmalıdır | Azure CNI, Azure ağ ilkeleri, Windows düğüm havuzları ve sanal düğümler eklentisi gibi bazı Azure Kubernetes Service özellikleri için önkoşuldur. Daha fazla bilgi için: https://aka.ms/aks-azure-cni | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri Komut Çağırmayı devre dışı bırakmalıdır | Komut çağrısını devre dışı bırakmak, kısıtlı ağ erişiminin veya Kubernetes rol tabanlı erişim denetiminin atlanmasından kaçınarak güvenliği artırabilir | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri küme otomatik yükseltmesini etkinleştirmelidir | AKS kümesi otomatik yükseltmesi, kümelerinizin güncel olduğundan ve AKS ve yukarı akış Kubernetes'ten en son özellikleri veya düzeltme eklerini kaçırmadığından emin olabilir. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri Görüntü Temizleyici'yi etkinleştirmelidir | Görüntü Temizleyici, eski görüntü riskini azaltan ve bunları temizlemek için gereken süreyi azaltan otomatik savunmasız, kullanılmayan görüntü tanımlama ve kaldırma işlemlerini gerçekleştirir. Daha fazla bilgi için: https://aka.ms/aks/image-cleaner. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri Microsoft Entra ID tümleştirmesini etkinleştirmelidir | AKS tarafından yönetilen Microsoft Entra Id tümleştirmesi, kullanıcının kimliğine veya dizin grubu üyeliğine göre Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) yapılandırarak kümelere erişimi yönetebilir. Daha fazla bilgi için: https://aka.ms/aks-managed-aad. | Denetim, Devre Dışı | 1.0.2 |
| Azure Kubernetes Service Kümeleri düğüm işletim sistemi otomatik yükseltmesini etkinleştirmelidir | AKS düğüm işletim sistemi otomatik yükseltmesi düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerini denetler. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri iş yükü kimliğini etkinleştirmelidir | İş yükü kimliği, her Kubernetes Pod'una benzersiz bir kimlik atamanıza ve bunu Azure Key Vault gibi Azure AD korumalı kaynaklarla ilişkilendirmenize olanak tanıyarak pod içinden bu kaynaklara güvenli erişim sağlar. Daha fazla bilgi için: https://aka.ms/aks/wi. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Denetim, Devre Dışı | 2.0.1 |
| Azure Kubernetes Service Kümelerinde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Kubernetes Service Kümelerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/aks-disable-local-accounts. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri yönetilen kimlikleri kullanmalıdır | Hizmet sorumlularını sarmak, küme yönetimini basitleştirmek ve yönetilen hizmet sorumluları için gereken karmaşıklığı önlemek için yönetilen kimlikleri kullanın. Daha fazla bilgi için: https://aka.ms/aks-update-managed-identities | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Özel Kümeleri etkinleştirilmelidir | API sunucunuzla düğüm havuzlarınız arasındaki ağ trafiğinin yalnızca özel ağda kaldığından emin olmak için Azure Kubernetes Service kümeniz için özel küme özelliğini etkinleştirin. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. | Denetim, Devre Dışı | 1.0.2 |
| Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Arc özellikli Kubernetes kümelerini Azure İlkesi uzantısını yükleyecek şekilde yapılandırma | Arc özellikli Kubernetes kümelerinizi merkezi ve tutarlı bir şekilde korumak için Azure İlkesi'nin Azure Arc uzantısını dağıtın. https://aka.ms/akspolicydoc adresinden daha fazla bilgi edinin. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Defender profilini etkinleştirmek için Azure Kubernetes Service kümelerini yapılandırma | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.Defender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. Kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Devre Dışı | 4.1.0 |
| Kubernetes kümesinde Flux uzantısı yüklemesini yapılandırma | Kümede 'fluxconfigurations' dağıtımını etkinleştirmek için Kubernetes kümesine Flux uzantısını yükleyin | DeployIfNotExists, Devre Dışı | 1.0.0 |
| KeyVault'ta Bucket kaynağı ve gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir Bucket SecretKey gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposu ve HTTPS CA Sertifikası kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım bir HTTPS CA Sertifikası gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Git deposunu ve HTTPS gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir HTTPS anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposunu ve yerel gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposunu ve SSH gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel Git deposunu kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yerel gizli dizileri kullanarak Kubernetes kümelerini belirtilen Flux v2 Demet kaynağıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| HTTPS gizli dizilerini kullanarak belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan HTTPS kullanıcı ve anahtar gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Gizli dizi kullanmadan belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| SSH gizli dizilerini kullanarak Kubernetes kümelerini belirtilen GitOps yapılandırmasıyla yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Microsoft Entra ID tümleşik Azure Kubernetes Service Kümelerini gerekli Yönetici Grup Erişimi ile yapılandırma | Microsoft Entra ID tümleşik AKS kümelerine Yönetici istrator erişimini merkezi olarak yöneterek küme güvenliğini iyileştirmeyi sağlayın. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Azure Kubernetes Kümesinde Düğüm İşletim Sistemi Otomatik yükseltmesini yapılandırma | Azure Kubernetes Service (AKS) kümelerinin düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerini denetlemek için Düğüm İşletim Sistemi otomatik yükseltmesini kullanın. Daha fazla bilgi için adresini ziyaret edin https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Dağıtma - Azure Kubernetes Service'i Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Azure Kubernetes Service tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Azure İlkesi Eklentisini Azure Kubernetes Service kümelerine dağıtma | Azure Kubernetes Service (AKS) kümelerinizin uyumluluk durumunu yönetmek ve raporlamak için Azure İlkesi Eklentisini kullanın. Daha fazla bilgi için bkz. https://aka.ms/akspolicydoc. | DeployIfNotExists, Devre Dışı | 4.1.0 |
| Azure Kubernetes Service'te Görüntü Temizleyici dağıtma | Azure Kubernetes kümelerinde Görüntü Temizleyici'yi dağıtın. Daha fazla bilgi için https://aka.ms/aks/image-cleaner | DeployIfNotExists, Devre Dışı | 1.0.4 |
| Azure Kubernetes Service (AKS) kümenizin yükseltmelerini zamanlamak ve denetlemek için Planlı Bakım dağıtma | Planlı Bakım, güncelleştirmeleri gerçekleştirmek ve iş yükü etkisini en aza indirmek için haftalık bakım pencereleri zamanlamanıza olanak tanır. Zamanlandıktan sonra yükseltmeler yalnızca seçtiğiniz pencere sırasında gerçekleşir. Daha fazla bilgi için: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Kubernetes Service kümelerinde Komut Çağırmayı Devre Dışı Bırakma | Komut çağrısını devre dışı bırakmak, kümeye invoke-command erişimini reddederek güvenliği artırabilir | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Küme kapsayıcılarının hazır olma veya canlılık yoklamalarının yapılandırıldığından emin olun | Bu ilke, tüm podların hazır olma ve/veya canlılık yoklamalarının yapılandırılmasını zorunlu kılır. Yoklama Türleri tcpSocket, httpGet ve exec'in herhangi biri olabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes küme kapsayıcıları yasak sysctl arabirimlerini kullanmamalıdır | Kapsayıcılar Kubernetes kümesinde yasak sysctl arabirimleri kullanmamalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen ProcMountType kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen ProcMountType'ları kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen çekme ilkesini kullanmalıdır | Kapsayıcıları dağıtımlarda yalnızca izin verilen görüntüleri kullanacak şekilde zorlamak için kapsayıcıların çekme ilkesini kısıtlayın | Denetim, Reddetme, Devre Dışı | 3.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen sekcomp profillerini kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen seccomp profillerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podu FlexVolume birimleri yalnızca izin verilen sürücüleri kullanmalıdır | Pod FlexVolume birimleri yalnızca Bir Kubernetes kümesinde izin verilen sürücüleri kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.1 |
| Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme podları ve kapsayıcıları yalnızca izin verilen SELinux seçeneklerini kullanmalıdır | Podlar ve kapsayıcılar bir Kubernetes kümesinde yalnızca izin verilen SELinux seçeneklerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme podları yalnızca izin verilen birim türlerini kullanmalıdır | Podlar yalnızca Kubernetes kümesinde izin verilen birim türlerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.1 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme podları belirtilen etiketleri kullanmalıdır | Kubernetes kümesindeki podları tanımlamak için belirtilen etiketleri kullanın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen dış IP'leri kullanmalıdır | Kubernetes kümesinde olası saldırılardan (CVE-2020-8554) kaçınmak için izin verilen dış IP'leri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.1.0 |
| Kubernetes kümesi çıplak podları kullanmamalıdır | Çıplak Pod kullanımını engelleyin. Çıplak Podlar, düğüm hatası durumunda yeniden zamanlanmaz. Podlar Dağıtım, Replicset, Daemonset veya İşler tarafından yönetilmelidir | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümesi Windows kapsayıcıları aşırı cpu ve bellek kullanmamalıdır | Windows kapsayıcısı kaynak istekleri kaynak sınırına eşit veya daha az olmalıdır ya da aşırı komuttan kaçınmak için belirtilmemiş olmalıdır. Windows belleği aşırı sağlanmışsa, diskteki sayfalar işlenir ve bu da kapsayıcıyı yetersiz bellekle sonlandırmak yerine performansı yavaşlatabilir | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümesi Windows kapsayıcıları Container Yönetici istrator olarak çalışmamalıdır | Windows podları veya kapsayıcıları için kapsayıcı işlemlerini yürütmek için kullanıcı olarak Container Yönetici istrator kullanımını engelleyin. Bu öneri, Windows düğümlerinin güvenliğini iyileştirmeye yöneliktir. Daha fazla bilgi için bkz. https://kubernetes.io/docs/concepts/windows/intro/ . | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kubernetes kümesi Windows kapsayıcıları yalnızca onaylı kullanıcı ve etki alanı kullanıcı grubuyla çalıştırılmalıdır | Windows podlarının ve kapsayıcılarının kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcıyı denetleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik Windows düğümlerinde Pod Güvenlik İlkeleri'nin bir parçasıdır. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerinde API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.1.0 |
| Kubernetes kümeleri, küme yöneticisi rolünün yalnızca gerektiğinde kullanıldığından emin olmalıdır | 'cluster-admin' rolü ortam üzerinde geniş kapsamlı güçler sağlar ve yalnızca gerektiğinde ve gerektiğinde kullanılmalıdır. | Denetim, Devre Dışı | 1.0.0 |
| Kubernetes kümeleri rol ve küme rolünde joker karakter kullanımını en aza indirmelidir | '*' joker karakterlerini kullanmak, belirli bir rol için gerekli olmayan geniş izinler verdiğinden güvenlik riski oluşturabilir. Bir rolün çok fazla izni varsa, kümedeki kaynaklara yetkisiz erişim elde etmek için bir saldırgan veya güvenliği aşılmış bir kullanıcı tarafından kötüye kullanılabilir. | Denetim, Devre Dışı | 1.0.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes kümeleri ClusterRole/system:aggregate-to-edit uç nokta düzenleme izinlerine izin vermemelidir | ClusterRole/system:aggregate-to-edit CVE-2021-25740 nedeniyle uç nokta düzenleme izinlerine izin vermemelidir, Endpoint & EndpointSlice izinleri ad alanları arası iletmeye izin verir. https://github.com/kubernetes/kubernetes/issues/103675 Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Devre Dışı | 3.1.0 |
| Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümeleri belirli güvenlik özelliklerini kullanmamalıdır | Pod kaynağında eklenmemiş ayrıcalıkları önlemek için Kubernetes kümelerindeki belirli güvenlik özelliklerini önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.1.0 |
| Kubernetes kümeleri Kapsayıcı Depolama Arabirimi (CSI) sürücüsünü Depolama Class kullanmalıdır | Container Storage Interface (CSI), rastgele blok ve dosya depolama sistemlerini Kubernetes üzerindeki kapsayıcılı iş yüklerinde kullanıma sunmaya yönelik bir standarttır. AKS sürüm 1.21'den bu yana ağaç içi sağlama Depolama Class kullanım dışı bırakılmalıdır. Daha fazla bilgi edinmek için https://aka.ms/aks-csi-driver | Denetim, Reddetme, Devre Dışı | 2.2.0 |
| Kubernetes kümeleri iç yük dengeleyicileri kullanmalıdır | Kubernetes hizmetini yalnızca Kubernetes kümesiyle aynı sanal ağda çalışan uygulamalar için erişilebilir hale getirmek için iç yük dengeleyicileri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes kaynaklarının gerekli ek açıklamaları olmalıdır | Kubernetes kaynaklarınızın gelişmiş kaynak yönetimi için belirli bir Kubernetes kaynak türüne gerekli ek açıklamaların eklendiğine emin olun. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.1.0 |
| Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir | Azure Kubernetes Service'in kaynak günlükleri, güvenlik olaylarını araştırırken etkinlik izlerini yeniden oluşturmanıza yardımcı olabilir. Gerektiğinde günlüklerin mevcut olduğundan emin olmak için etkinleştirin | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | Veri güvenliğini geliştirmek için Azure Kubernetes Service düğümlerinizin sanal makine (VM) ana bilgisayarında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Lab Services
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Laboratuvar Hizmetleri otomatik kapatma için tüm seçenekleri etkinleştirmelidir | Bu ilke, laboratuvar için tüm otomatik kapatma seçeneklerinin etkinleştirilmesini zorunlu kılarak maliyet yönetimine yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Laboratuvar Hizmetleri, laboratuvarlar için şablon sanal makinelerine izin vermemelidir | Bu ilke, Laboratuvar Hizmetleri aracılığıyla yönetilen laboratuvarlar için şablon sanal makinelerinin oluşturulmasını ve özelleştirilmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Laboratuvar Hizmetleri, laboratuvarlar için yönetici olmayan kullanıcı gerektirmelidir | Bu ilke, laboratuvar hizmetleri aracılığıyla yönetilen laboratuvarlar için yönetici olmayan kullanıcı hesaplarının oluşturulmasını gerektirir. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Laboratuvar Hizmetleri izin verilen sanal makine SKU boyutlarını kısıtlamalıdır | Bu ilke, Laboratuvar Hizmetleri aracılığıyla yönetilen laboratuvarlar için belirli İşlem VM SKU'larını kısıtlamanızı sağlar. Bu, belirli sanal makine boyutlarını kısıtlar. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Lighthouse
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Lighthouse aracılığıyla kiracı kimliklerinin yönetilmesine izin ver | Azure Lighthouse temsilcilerini belirli yönetim kiracılarıyla kısıtlamak, Azure kaynaklarınızı yönetebilecek kişileri sınırlayarak güvenliği artırır. | reddet | 1.0.1 |
| Kapsamların yönetim kiracısına temsilci seçmesini denetleme | Azure Lighthouse aracılığıyla kapsamların yönetim kiracısına temsilci seçmesini denetleme. | Denetim, Devre Dışı | 1.0.0 |
Logic Apps
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Logic Apps Tümleştirme Hizmeti Ortamı, müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak Logic Apps verilerinin geri kalanında şifrelemeyi yönetmek için Tümleştirme Hizmeti Ortamı'na dağıtın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Logic Apps Tümleştirme Hizmeti Ortamına dağıtılmalıdır | Logic Apps'in sanal ağda Tümleştirme Hizmeti Ortamına dağıtılması, gelişmiş Logic Apps ağ ve güvenlik özelliklerinin kilidini açar ve ağ yapılandırmanız üzerinde daha fazla denetim sağlar. Daha fazla bilgi için: https://aka.ms/integration-service-environment. Integration Service Ortamı'na dağıtmak, şifreleme anahtarlarınızı yönetmenize olanak tanıyarak gelişmiş veri koruması sağlayan müşteri tarafından yönetilen anahtarlarla şifrelemeye de olanak tanır. Bu genellikle uyumluluk gereksinimlerini karşılamak için kullanılır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
Machine Learning
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: İzin verilen Kayıt Defteri dışında Azure Machine Learning Model Kayıt Defteri Dağıtımları kısıtlandı | Yalnızca izin verilen Kayıt Defteri'nde Kayıt Defteri Modellerini dağıtın ve bunlar kısıtlanmaz. | Reddet, Devre Dışı | 1.0.0-önizleme |
| Azure Machine Learning İşlem Örneği'nin boşta kapatması gerekir. | Boşta kapatma zamanlamasına sahip olmak, önceden belirlenmiş bir etkinlik döneminden sonra boşta olan işlemleri kapatarak maliyeti azaltır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| En son yazılım güncelleştirmelerini almak için Azure Machine Learning işlem örnekleri yeniden oluşturulmalıdır | Azure Machine Learning işlem örneklerinin kullanılabilir en son işletim sisteminde çalıştığından emin olun. En son güvenlik düzeltme ekleriyle çalıştırılarak güvenlik açıkları iyileştirilir ve güvenlik açıkları azaltılır. Daha fazla bilgi için https://aka.ms/azureml-ci-updates/ adresini ziyaret edin. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning İşlemleri bir sanal ağda olmalıdır | Azure Sanal Ağ, erişimi daha fazla kısıtlamak için Azure Machine Learning İşlem Kümeleri ve Örneklerinizin yanı sıra alt ağlar, erişim denetimi ilkeleri ve diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. Bir işlem bir sanal ağ ile yapılandırıldığında, genel olarak ele alınamaz ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. | Denetim, Devre Dışı | 1.0.1 |
| Azure Machine Learning İşlemlerinde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Machine Learning İşlemlerinin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/azure-ml-aad-policy. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarlarla Azure Machine Learning çalışma alanı verilerinin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/azureml-workspaces-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.3 |
| Azure Machine Learning Çalışma Alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, Machine Learning Çalışma Alanlarının genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak çalışma alanlarınızın açığa çıkarma durumunu denetleyebilirsiniz. Daha fazla bilgi için: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Azure Machine Learning çalışma alanları, geriye dönük ağ yalıtımı uyumluluğunu desteklemek için V1LegacyMode'un etkinleştirilmesi gerekir | Azure ML, Azure Resource Manager'da yeni bir V2 API platformuna geçiş yapıyor ve V1LegacyMode parametresini kullanarak API platform sürümünü denetleyebilirsiniz. V1LegacyMode parametresinin etkinleştirilmesi, çalışma alanlarınızı V1 ile aynı ağ yalıtımında tutmanıza olanak tanır ancak yeni V2 özelliklerini kullanamazsınız. V1 Eski Modu'nu yalnızca AzureML denetim düzlemi verilerini özel ağlarınızda tutmak istediğinizde açmanızı öneririz. Daha fazla bilgi için: https://aka.ms/V1LegacyMode. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Machine Learning çalışma alanları kullanıcı tarafından atanan yönetilen kimliği kullanmalıdır | Kullanıcı tarafından atanan yönetilen kimliği kullanarak Azure ML çalışma alanına ve ilişkili kaynaklara, Azure Container Registry, KeyVault, Depolama ve App Analizler erişimine erişin. Varsayılan olarak, sistem tarafından atanan yönetilen kimlik Azure ML çalışma alanı tarafından ilişkili kaynaklara erişmek için kullanılır. Kullanıcı tarafından atanan yönetilen kimlik, kimliği bir Azure kaynağı olarak oluşturmanıza ve bu kimliğin yaşam döngüsünü korumanıza olanak tanır. https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak için Azure Machine Learning İşlemlerini yapılandırma | Machine Learning İşlemlerinizin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için konum kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/azure-ml-aad-policy. | Değiştir, Devre Dışı | 2.1.0 |
| Azure Machine Learning çalışma alanını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Machine Learning çalışma alanlarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Azure Machine Learning Çalışma Alanlarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Çalışma alanlarınıza genel İnternet üzerinden erişilemeyecek şekilde Azure Machine Learning Çalışma Alanları için genel ağ erişimini devre dışı bırakın. Bu, çalışma alanlarının veri sızıntısı risklerine karşı korunmasına yardımcı olur. Bunun yerine özel uç noktalar oluşturarak çalışma alanlarınızın açığa çıkarma durumunu denetleyebilirsiniz. Daha fazla bilgi için: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Değiştir, Devre Dışı | 1.0.3 |
| Azure Machine Learning çalışma alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure Machine Learning çalışma alanınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Machine Learning Çalışma Alanları için tanılama ayarlarını Log Analytics çalışma alanına yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Azure Machine Learning Çalışma Alanı oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics Çalışma Alanına akışla aktarmak için Azure Machine Learning Çalışma Alanları için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Azure Machine Learning Çalışma Alanlarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlükleri, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmayı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Yönetilen Uygulama
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Yönetilen Uygulama için uygulama tanımı müşteri tarafından sağlanan depolama hesabını kullanmalıdır | Bu bir mevzuat veya uyumluluk gereksinimi olduğunda uygulama tanımı verilerini denetlemek için kendi depolama hesabınızı kullanın. Yönetilen uygulama tanımınızı oluşturma sırasında sizin sağladığınız bir depolama hesabı içinde depolamayı seçebilirsiniz; böylece yasal uyumluluk gereksinimlerini karşılamak için konumu ve erişimi sizin tarafınızdan tam olarak yönetilebilir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Yönetilen uygulama için ilişkilendirmeleri dağıtma | Seçili kaynak türlerini belirtilen yönetilen uygulamayla ilişkilendiren bir ilişkilendirme kaynağı dağıtır. Bu ilke dağıtımı iç içe kaynak türlerini desteklemez. | deployIfNotExists | 1.0.0 |
Yönetilen Grafana
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Yönetilen Grafana özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Yönetilen Grafana ile eşleyerek veri sızıntısı risklerini azaltabilirsiniz. | Denetim, Devre Dışı | 1.0.0 |
| Azure Yönetilen Grafana çalışma alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Yönetilen Grafana çalışma alanınızın genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak, çalışma alanlarınızın görünür kalmasını sınırlayabilir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Yönetilen Grafana panolarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure Yönetilen Grafana ile eşleyerek veri sızıntısı risklerini azaltabilirsiniz. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Yönetilen Grafana çalışma alanlarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel İnternet üzerinden erişilmemesi için Azure Yönetilen Grafana çalışma alanınız için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Yönetilen Grafana çalışma alanlarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Yönetilen Grafana çalışma alanlarına çözümlenmesi için sanal ağınıza bağlanır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Yönetilen Kimlik
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Kubernetes'ten Yönetilen Kimlik Federasyon Kimlik Bilgileri güvenilir kaynaklardan olmalıdır | Bu ilke, Azure Kubernetes kümeleriyle federasyon işlemini yalnızca onaylanan kiracılardan, onaylanan bölgelerden ve ek kümelerden oluşan belirli bir özel durum listesinden gelen kümelerle sınırlar. | Denetim, Devre Dışı, Reddet | 1.0.0-önizleme |
| [Önizleme]: GitHub'dan Yönetilen Kimlik Federasyon Kimlik Bilgileri güvenilen depo sahiplerinden olmalıdır | Bu ilke, GitHub depolarıyla federasyonu yalnızca onaylanan depo sahipleriyle sınırlar. | Denetim, Devre Dışı, Reddet | 1.0.1-önizleme |
| [Önizleme]: Yönetilen Kimlik Federasyon Kimlik Bilgileri izin verilen veren türlerden olmalıdır | Bu ilke, Yönetilen Kimliklerin ortak veren türlerine izin verilen federasyon kimlik bilgilerini kullanıp kullanamayacağını sınırlar ve izin verilen veren özel durumlarının listesini sağlar. | Denetim, Devre Dışı, Reddet | 1.0.0-önizleme |
| [Önizleme]: Sanal Makine Ölçek Kümeleri'a Yerleşik Kullanıcı Tarafından Atanan Yönetilen Kimlik Atama | Yerleşik bir kullanıcı tarafından atanan yönetilen kimlik oluşturun ve atayın veya sanal makine ölçek kümelerine uygun ölçekte önceden oluşturulmuş bir kullanıcı tarafından atanan yönetilen kimlik atayın. Daha ayrıntılı belgeler için aka.ms/managedidentitypolicy adresini ziyaret edin. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-önizleme |
| [Önizleme]: Sanal Makineler'a Yerleşik Kullanıcı Tarafından Atanan Yönetilen Kimlik Atama | Yerleşik bir kullanıcı tarafından atanan yönetilen kimlik oluşturun ve atayın veya sanal makinelere uygun ölçekte önceden oluşturulmuş bir kullanıcı tarafından atanan yönetilen kimlik atayın. Daha ayrıntılı belgeler için aka.ms/managedidentitypolicy adresini ziyaret edin. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-önizleme |
Haritalar
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| CORS, her kaynağın harita hesabınıza erişmesine izin vermemelidir. | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının harita hesabınıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının harita hesabınızla etkileşim kurmasına izin verin. | Devre Dışı, Denetim, Reddetme | 1.0.0 |
Media Services
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Media Services hesapları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, Media Services kaynaklarının genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktaların oluşturulması Media Services kaynaklarının açıkta kalmasını sınırlayabilir. Daha fazla bilgi için: https://aka.ms/mediaservicesprivatelinkdocs. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Media Services hesapları Özel Bağlantı destekleyen bir API kullanmalıdır | Media Services hesapları, özel bağlantıyı destekleyen bir API ile oluşturulmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Eski v2 API'sine erişime izin veren Azure Media Services hesapları engellenmelidir | Media Services eski v2 API'si, Azure İlkesi kullanılarak yönetilemeyen isteklere izin verir. 2020-05-01 API veya üzeri kullanılarak oluşturulan Media Services kaynakları eski v2 API'sine erişimi engeller. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Media Services içerik anahtarı ilkeleri belirteç kimlik doğrulaması kullanmalıdır | İçerik anahtarı ilkeleri, içerik anahtarlarına erişmek için karşılanması gereken koşulları tanımlar. Belirteç kısıtlaması, içerik anahtarlarına yalnızca kimlik doğrulama hizmetinden geçerli belirteçleri olan kullanıcılar (örneğin, Microsoft Entra Id) tarafından erişilmesini sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| HTTPS girişlerine sahip Azure Media Services işleri giriş URI'lerini izin verilen URI desenleriyle sınırlandırmalıdır | Media Services işleri tarafından kullanılan HTTPS girişlerini bilinen uç noktalarla kısıtlayın. HTTPS uç noktalarındaki girişler, izin verilen iş girişi desenlerinin boş bir listesi ayarlanarak tamamen devre dışı bırakılabilir. İş girişlerinin bir 'baseUri' belirttiği durumlarda desenler bu değerle eşleştirilir; 'baseUri' ayarlanmadığında, desen 'files' özelliğiyle eşleştirilir. | Reddet, Devre Dışı | 1.0.1 |
| Azure Media Services bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Media Services hesaplarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/mediaservicescmkdocs adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Media Services özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Media Services ile eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/mediaservicesprivatelinkdocs | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Media Services'ı özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Media Services hesabına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Media Services'i özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Media Services ile eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/mediaservicesprivatelinkdocs | DeployIfNotExists, Devre Dışı | 1.0.0 |
Geçiş
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Geçişi kaynaklarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Geçişi projenize çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Mobil Ağ
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Microsoft EntraID kimlik doğrulama türünü kullanmak için Paket Çekirdeği Denetim Düzlemi tanılama erişimini yapılandırma | Yerel API'ler üzerinden paket çekirdeği tanılama erişimi için Authenticaton türü Microsoft EntraID olmalıdır | Değiştir, Devre Dışı | 1.0.0 |
| Paket Çekirdeği Denetim Düzlemi tanılama erişimi yalnızca Microsoft EntraID kimlik doğrulama türünü kullanmalıdır | Yerel API'ler üzerinden paket çekirdeği tanılama erişimi için Authenticaton türü Microsoft EntraID olmalıdır | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| SIM Grubu bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | SIM grubundaki DIĞER SIM gizli dizilerinde şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir ve verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
İzleme
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Linux makinelerini varsayılan Log Analytics çalışma alanına bağlı Log Analytics aracılarıyla yapılandırma | Bulut için Microsoft Defender tarafından oluşturulan varsayılan Log Analytics çalışma alanına veri gönderen Log Analytics aracılarını yükleyerek Azure Arc özellikli Linux makinelerinizi Bulut için Microsoft Defender özellikleriyle koruyun. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Arc özellikli Windows makinelerini varsayılan Log Analytics çalışma alanına bağlı Log Analytics aracılarıyla yapılandırma | Bulut için Microsoft Defender tarafından oluşturulan varsayılan Log Analytics çalışma alanına veri gönderen Log Analytics aracılarını yükleyerek Azure Arc özellikli Windows makinelerinizi Bulut için Microsoft Defender özellikleriyle koruyun. | DeployIfNotExists, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Vm'lerde Azure İzleyici atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimliği yapılandırma | Azure İzleyici tarafından desteklenen ve sistem tarafından atanan yönetilen kimliği olmayan, Azure'da barındırılan sanal makinelere sistem tarafından atanan yönetilen kimliği yapılandırın. Sistem tarafından atanan yönetilen kimlik, tüm Azure İzleyici atamaları için önkoşuldur ve herhangi bir Azure İzleyici uzantısı kullanılmadan önce makinelere eklenmelidir. Hedef sanal makineler desteklenen bir konumda olmalıdır. | Değiştir, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Log Analytics Uzantısı listelenen sanal makine görüntüleri için etkinleştirilmelidir | Sanal makine görüntüsü tanımlanan listede değilse ve uzantı yüklü değilse, sanal makineleri uyumsuz olarak raporlar. | AuditIfNotExists, Devre Dışı | 2.0.1-önizleme |
| [Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| Etkinlik günlüğü en az bir yıl saklanmalıdır | Bu ilke, saklama süresi 365 gün veya sonsuza kadar ayarlanmadıysa etkinlik günlüğünü denetler (bekletme günleri 0 olarak ayarlanır). | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Belirli Yönetici istratif işlemler için etkinlik günlüğü uyarısı bulunmalıdır | Bu ilke, hiçbir etkinlik günlüğü uyarısı yapılandırılmadan belirli Yönetici istratif işlemleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Belirli İlke işlemleri için etkinlik günlüğü uyarısı bulunmalıdır | Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli İlke işlemlerini denetler. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Belirli Güvenlik işlemleri için etkinlik günlüğü uyarısı bulunmalıdır | Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Güvenlik işlemlerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Uygulama Analizler bileşenleri genel ağlardan günlük alımını ve sorgulamayı engellemelidir | Günlük alımını ve genel ağlardan sorgulamayı engelleyerek Uygulama Analizler güvenliğini geliştirin. Yalnızca özel bağlantı bağlı ağlar bu bileşenin günlüklerini alıp sorgulayabilecektir. https://aka.ms/AzMonPrivateLink#configure-application-insights adresinden daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Uygulama Analizler bileşenleri, Azure Active Directory tabanlı olmayan alımı engellemelidir. | Azure Active Directory kimlik doğrulaması gerektirmek için günlük alımının zorunlu olması, saldırgandan gelen kimliği doğrulanmamış günlükleri önler ve bu da sistemde yanlış durum, yanlış uyarılar ve yanlış günlüklerin depolanmasına neden olabilir. | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Özel Bağlantı etkin uygulama Analizler bileşenleri profil oluşturucu ve hata ayıklayıcı için Kendi Depolama Hesaplarını Getir'i kullanmalıdır. | Özel bağlantı ve müşteri tarafından yönetilen anahtar ilkelerini desteklemek için profil oluşturucu ve hata ayıklayıcı için kendi depolama hesabınızı oluşturun. Daha fazla bilgi için https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Seçili kaynak türleri için tanılama ayarını denetleme | Seçili kaynak türleri için tanılama ayarını denetleyin. Yalnızca tanılama ayarlarını destekleyen kaynak türlerini seçtiğinizden emin olun. | AuditIfNotExists | 2.0.1 |
| Azure Uygulaması lication Gateway'de Kaynak günlükleri etkinleştirilmelidir | Azure Uygulaması lication Gateway (artı WAF) için Kaynak günlüklerini etkinleştirin ve Log Analytics çalışma alanına akış yapın. Gelen web trafiğine ve saldırıları azaltmak için gerçekleştirilir eylemlere ilişkin ayrıntılı görünürlük elde edin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Front Door'da Kaynak günlükleri etkinleştirilmelidir | Azure Front Door (artı WAF) için Kaynak günlüklerini etkinleştirin ve Log Analytics çalışma alanına akış yapın. Gelen web trafiğine ve saldırıları azaltmak için gerçekleştirilir eylemlere ilişkin ayrıntılı görünürlük elde edin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Front Door Standard veya Premium (Plus WAF) için kaynak günlükleri etkinleştirilmelidir | Azure Front Door Standard veya Premium (artı WAF) için Kaynak günlüklerini etkinleştirin ve Log Analytics çalışma alanına akış yapın. Gelen web trafiğine ve saldırıları azaltmak için gerçekleştirilir eylemlere ilişkin ayrıntılı görünürlük elde edin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics çalışma alanları üzerinden Azure Log Search Uyarıları müşteri tarafından yönetilen anahtarları kullanmalıdır | Sorgu metnini müşterinin sorgulanan Log Analytics çalışma alanı için sağladığı depolama hesabını kullanarak depolayarak Azure Günlük Arama Uyarılarının müşteri tarafından yönetilen anahtarları uyguladığından emin olun. Daha fazla bilgi için https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview adresini ziyaret edin. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Azure İzleyici günlük profili 'yazma,' 'sil' ve 'eylem' kategorileri için günlükleri toplamalıdır | Bu ilke, günlük profilinin 'yazma,' 'silme' ve 'eylem' kategorileri için günlükleri toplamasını sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure İzleyici Günlükleri kümeleri altyapı şifrelemesi etkin (çift şifreleme) ile oluşturulmalıdır | Güvenli veri şifrelemesinin hizmet düzeyinde ve altyapı düzeyinde iki farklı şifreleme algoritması ve iki farklı anahtarla etkinleştirildiğinden emin olmak için Azure İzleyici ayrılmış kümesini kullanın. Bu seçenek, bölgede desteklendiğinde varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtar şifrelemesi ile Azure İzleyici günlükleri kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak mevzuat uyumluluğunu karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Uygulama Analizler için Azure İzleyici Günlükleri bir Log Analytics çalışma alanına bağlanmalıdır | Günlük şifrelemesi için Application Analizler bileşenini log analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'deki verilerinize erişim üzerinde daha fazla denetim sağlamak için gereklidir. Bileşeninizi müşteri tarafından yönetilen bir anahtarla etkinleştirilmiş bir Log Analytics çalışma alanına bağlamak, Uygulama Analizler günlüklerinizin bu uyumluluk gereksinimini karşıladığından emin olur, bkzhttps://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure İzleyici Özel Bağlantı Kapsamı özel olmayan bağlantı kaynaklarına erişimi engellemelidir | Azure Özel Bağlantı, sanal ağlarınızı özel bir uç nokta üzerinden Azure kaynaklarına azure İzleyici Özel Bağlantı kapsamına (AMPLS) bağlamanıza olanak tanır. Özel Bağlantı Erişim modları, ağlarınızdan gelen alım ve sorgu isteklerinin tüm kaynaklara mı yoksa yalnızca Özel Bağlantı kaynaklara mı ulaşabileceğini (veri sızdırmayı önlemek için) denetlemek için AMPLS'nizde ayarlanır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure İzleyici Özel Bağlantı Kapsamı özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure İzleyici Özel Bağlantı Kapsamı'na eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure İzleyici tüm bölgelerden etkinlik günlüklerini toplamalıdır | Bu ilke, genel de dahil olmak üzere tüm Azure desteği bölgelerin etkinliklerini dışarı aktarmayan Azure İzleyici günlük profilini denetler. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Azure İzleyici çözümü 'Güvenlik ve Denetim' dağıtılmalıdır | Bu ilke, Güvenlik ve Denetim'in dağıtılmasını sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure aboneliklerinin Etkinlik Günlüğü için bir günlük profili olmalıdır | Bu ilke, etkinlik günlüklerini dışarı aktarmak için bir günlük profilinin etkinleştirilip etkinleştirilmemesini sağlar. Günlükleri depolama hesabına veya olay hub'ına dışarı aktarmak için oluşturulmuş bir günlük profili olup olmadığını denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Etkinlik günlüklerini belirtilen Log Analytics çalışma alanına akışla aktaracak şekilde yapılandırma | Abonelik düzeyi olayları izlemek üzere abonelik denetim günlüklerini Log Analytics çalışma alanına akışla aktarmak için Azure Etkinliği tanılama ayarlarını dağıtır | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Günlük alımı ve sorgulama için genel ağ erişimini devre dışı bırakmak için Azure Uygulaması Analizler bileşenlerini yapılandırma | Güvenliği geliştirmek için bileşenleri günlük alımını ve genel ağlardan sorgulama erişimini devre dışı bırakın. Bu çalışma alanında yalnızca özel bağlantı bağlı ağlar günlükleri alıp sorgulayabilecektir. https://aka.ms/AzMonPrivateLink#configure-application-insights adresinden daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.1.0 |
| Azure Log Analytics çalışma alanlarını günlük alımı ve sorgulama için genel ağ erişimini devre dışı bırakmak üzere yapılandırma | Genel ağlardan günlük alımını ve sorgularını engelleyerek çalışma alanı güvenliğini geliştirin. Bu çalışma alanında yalnızca özel bağlantı bağlı ağlar günlükleri alıp sorgulayabilecektir. https://aka.ms/AzMonPrivateLink#configure-log-analytics adresinden daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.1.0 |
| Özel olmayan bağlantı kaynaklarına erişimi engellemek için Azure İzleyici Özel Bağlantı Kapsamını yapılandırma | Azure Özel Bağlantı, sanal ağlarınızı özel bir uç nokta üzerinden Azure kaynaklarına azure İzleyici Özel Bağlantı kapsamına (AMPLS) bağlamanıza olanak tanır. Özel Bağlantı Erişim modları, ağlarınızdan gelen alım ve sorgu isteklerinin tüm kaynaklara mı yoksa yalnızca Özel Bağlantı kaynaklara mı ulaşabileceğini (veri sızdırmayı önlemek için) denetlemek için AMPLS'nizde ayarlanır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open | Değiştir, Devre Dışı | 1.0.0 |
| Azure İzleyici Özel Bağlantı Kapsamını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Azure İzleyici özel bağlantı kapsamına çözümlenecek özel DNS bölgesi sanal ağınıza bağlanır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure İzleyici Özel Bağlantı Kapsamlarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure İzleyici Özel Bağlantı Kapsamlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Arc özellikli Linux sunucularında Bağımlılık aracıyı yapılandırma | Bağımlılık aracısı sanal makine uzantısını yükleyerek Arc özellikli sunucular aracılığıyla Azure'a bağlı sunucular ve makineler üzerinde VM içgörülerini etkinleştirin. VM içgörüleri, ağ ölçümlerini ve makinede çalışan işlemler ve dış işlem bağımlılıkları hakkında bulunan verileri toplamak için Bağımlılık aracısını kullanır. Daha fazla bilgi edinin - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Azure Arc özellikli Linux sunucularında Bağımlılık aracısını Azure monitoring Agent ayarlarıyla yapılandırma | Azure İzleme Aracısı ayarlarıyla Bağımlılık aracısı sanal makine uzantısını yükleyerek Arc özellikli sunucular aracılığıyla Azure'a bağlı sunucular ve makineler üzerinde VM içgörülerini etkinleştirin. VM içgörüleri, ağ ölçümlerini ve makinede çalışan işlemler ve dış işlem bağımlılıkları hakkında bulunan verileri toplamak için Bağımlılık aracısını kullanır. Daha fazla bilgi edinin - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Devre Dışı | 1.1.2 |
| Azure Arc özellikli Windows sunucularında Bağımlılık aracıyı yapılandırma | Bağımlılık aracısı sanal makine uzantısını yükleyerek Arc özellikli sunucular aracılığıyla Azure'a bağlı sunucular ve makineler üzerinde VM içgörülerini etkinleştirin. VM içgörüleri, ağ ölçümlerini ve makinede çalışan işlemler ve dış işlem bağımlılıkları hakkında bulunan verileri toplamak için Bağımlılık aracısını kullanır. Daha fazla bilgi edinin - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Azure Arc özellikli Windows sunucularında Bağımlılık aracısını Azure İzleme Aracısı ayarlarıyla yapılandırma | Azure İzleme Aracısı ayarlarıyla Bağımlılık aracısı sanal makine uzantısını yükleyerek Arc özellikli sunucular aracılığıyla Azure'a bağlı sunucular ve makineler üzerinde VM içgörülerini etkinleştirin. VM içgörüleri, ağ ölçümlerini ve makinede çalışan işlemler ve dış işlem bağımlılıkları hakkında bulunan verileri toplamak için Bağımlılık aracısını kullanır. Daha fazla bilgi edinin - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Devre Dışı | 1.1.2 |
| Linux Arc Makinelerini Bir Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Linux Arc makinelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konum listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 2.2.0 |
| Linux Arc özellikli makineleri Azure İzleyici Aracısını çalıştıracak şekilde yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Linux Arc özellikli makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bölge destekleniyorsa bu ilke uzantıyı yükler. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 2.4.0 |
| Linux Makinelerini Bir Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Linux sanal makinelerini, sanal makine ölçek kümelerini ve Arc makinelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 6.3.0 |
| Linux Sanal Makine Ölçek Kümeleri bir Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Linux sanal makine ölçek kümelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 4.2.0 |
| Linux sanal makine ölçek kümelerini sistem tarafından atanan yönetilen kimlik tabanlı kimlik doğrulamasıyla Azure İzleyici Aracısı'nın çalıştırılması için yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Linux sanal makine ölçek kümelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. İşletim sistemi ve bölge destekleniyorsa ve sistem tarafından atanan yönetilen kimlik etkinleştirildiyse bu ilke uzantıyı yükler ve aksi takdirde yüklemeyi atlar. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 3.5.0 |
| Linux sanal makine ölçek kümelerini kullanıcı tarafından atanan yönetilen kimlik tabanlı kimlik doğrulamasıyla Azure İzleyici Aracısı'nın çalıştırılması için yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Linux sanal makine ölçek kümelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 3.6.0 |
| Linux Sanal Makineler bir Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Linux sanal makinelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 4.2.0 |
| Linux sanal makinelerini sistem tarafından atanan yönetilen kimlik tabanlı kimlik doğrulaması ile Azure İzleyici Aracısı'nın çalıştırılması için yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Linux sanal makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. İşletim sistemi ve bölge destekleniyorsa ve sistem tarafından atanan yönetilen kimlik etkinleştirildiyse bu ilke uzantıyı yükler ve aksi takdirde yüklemeyi atlar. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 3.5.0 |
| Linux sanal makinelerini kullanıcı tarafından atanan yönetilen kimlik tabanlı kimlik doğrulamasıyla Azure İzleyici Aracısı'nın çalıştırılması için yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Linux sanal makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 3.6.0 |
| Azure Arc özellikli Linux sunucularında Log Analytics uzantısını yapılandırın. Aşağıdaki kullanımdan kaldırma bildirimine bakın | Log Analytics sanal makine uzantısını yükleyerek Arc özellikli sunucular aracılığıyla Azure'a bağlı sunucular ve makineler üzerinde VM içgörülerini etkinleştirin. VM içgörüleri, konuk işletim sistemi performans verilerini toplamak için Log Analytics aracısını kullanır ve performanslarıyla ilgili içgörüler sağlar. Daha fazla bilgi edinin - https://aka.ms/vminsightsdocs. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir | DeployIfNotExists, Devre Dışı | 2.1.1 |
| Azure Arc özellikli Windows sunucularında Log Analytics uzantısını yapılandırma | Log Analytics sanal makine uzantısını yükleyerek Arc özellikli sunucular aracılığıyla Azure'a bağlı sunucular ve makineler üzerinde VM içgörülerini etkinleştirin. VM içgörüleri, konuk işletim sistemi performans verilerini toplamak için Log Analytics aracısını kullanır ve performanslarıyla ilgili içgörüler sağlar. Daha fazla bilgi edinin - https://aka.ms/vminsightsdocs. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir. | DeployIfNotExists, Devre Dışı | 2.1.1 |
| Günlükleri ve izlemeyi merkezileştirmek için Log Analytics çalışma alanı ve otomasyon hesabını yapılandırma | Günlükleri ve izlemeyi merkezileştirmek için Log Analytics çalışma alanını ve bağlı otomasyon hesabını içeren kaynak grubunu dağıtın. Otomasyon hesabı, Güncelleştirmeler ve Değişiklik İzleme gibi çözümler için bir önkoşuldur. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Windows Arc Machines'i bir Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Windows Arc makinelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konum listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 2.2.0 |
| Windows Arc özellikli makineleri Azure İzleyici Aracısını çalıştıracak şekilde yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Windows Arc özellikli makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. İşletim sistemi ve bölge destekleniyorsa ve sistem tarafından atanan yönetilen kimlik etkinleştirildiyse bu ilke uzantıyı yükler ve aksi takdirde yüklemeyi atlar. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 2.4.0 |
| Windows Makinelerini Bir Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Windows sanal makinelerini, sanal makine ölçek kümelerini ve Arc makinelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 4.5.0 |
| Windows Sanal Makine Ölçek Kümeleri'ı Bir Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Windows sanal makine ölçek kümelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 3.3.0 |
| Sistem tarafından atanan yönetilen kimliği kullanarak Azure İzleyici Aracısı'nın çalıştırılması için Windows sanal makine ölçek kümelerini yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Windows sanal makine ölçek kümelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. İşletim sistemi ve bölge destekleniyorsa ve sistem tarafından atanan yönetilen kimlik etkinleştirildiyse bu ilke uzantıyı yükler ve aksi takdirde yüklemeyi atlar. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 3.4.0 |
| Kullanıcı tarafından atanan yönetilen kimlik tabanlı kimlik doğrulamasıyla Azure İzleyici Aracısı'nın çalıştırılması için Windows sanal makine ölçek kümelerini yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Windows sanal makine ölçek kümelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.4.0 |
| Windows Sanal Makineler'ı Veri Toplama Kuralı veya Veri Toplama Uç Noktası ile ilişkilendirilecek şekilde yapılandırma | Windows sanal makinelerini belirtilen Veri Toplama Kuralına veya belirtilen Veri Toplama Uç Noktasına bağlamak için İlişkilendirme dağıtın. Destek arttıkça konumların ve işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | DeployIfNotExists, Devre Dışı | 3.3.0 |
| Sistem tarafından atanan yönetilen kimliği kullanarak Azure İzleyici Aracısı'nın çalıştırılması için Windows sanal makinelerini yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Windows sanal makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. İşletim sistemi ve bölge destekleniyorsa ve sistem tarafından atanan yönetilen kimlik etkinleştirildiyse bu ilke uzantıyı yükler ve aksi takdirde yüklemeyi atlar. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 4.4.0 |
| Kullanıcı tarafından atanan yönetilen kimlik tabanlı kimlik doğrulaması ile Azure İzleyici Aracısı'nın çalıştırılması için Windows sanal makinelerini yapılandırma | Konuk işletim sisteminden telemetri verilerini toplamak için Windows sanal makinelerinizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Bu ilke uzantıyı yükleyecek ve işletim sistemi ve bölge destekleniyorsa belirtilen kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandıracak ve aksi takdirde yüklemeyi atlayacaktır. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.4.0 |
| Bağımlılık aracısı, listelenen sanal makine görüntüleri için etkinleştirilmelidir | Sanal makine görüntüsü tanımlanan listede değilse ve aracı yüklü değilse, sanal makineleri uyumsuz olarak raporlar. Destek güncelleştirildikçe işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Bağımlılık aracısı, listelenen sanal makine görüntüleri için sanal makine ölçek kümelerinde etkinleştirilmelidir | Sanal makine görüntüsü tanımlanan listede değilse ve aracı yüklü değilse, sanal makine ölçek kümelerini uyumsuz olarak bildirir. Destek güncelleştirildikçe işletim sistemi görüntülerinin listesi zaman içinde güncelleştirilir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Dağıtma - Bağımlılık aracısını Windows sanal makine ölçek kümelerinde etkinleştirilecek şekilde yapılandırma | Sanal makine görüntüsü tanımlanan listedeyse ve aracı yüklü değilse Windows sanal makine ölçek kümeleri için Bağımlılık aracısını dağıtın. UpgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, uzantıyı güncelleştirerek kümedeki tüm sanal makinelere uygulamanız gerekir. | DeployIfNotExists, Devre Dışı | 3.1.0 |
| Dağıtma - Bağımlılık aracısını Windows sanal makinelerinde etkinleştirilecek şekilde yapılandırma | Sanal makine görüntüsü tanımlanan listedeyse ve aracı yüklü değilse Windows sanal makineleri için Bağımlılık aracısını dağıtın. | DeployIfNotExists, Devre Dışı | 3.1.0 |
| Dağıtma - Tanılama ayarlarını Azure Key Vault Yönetilen HSM'de etkinleştirilecek bir Log Analytics çalışma alanında yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Azure Key Vault Yönetilen HSM oluşturulduğunda veya güncelleştirildiğinde bölgesel log analytics çalışma alanına akış yapmak için Azure Key Vault Yönetilen HSM tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıt - Log Analytics uzantısını Windows sanal makine ölçek kümelerinde etkinleştirilecek şekilde yapılandırma | Sanal makine görüntüsü tanımlanan listedeyse ve uzantı yüklü değilse Windows sanal makine ölçek kümeleri için Log Analytics uzantısını dağıtın. UpgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, uzantıyı güncelleştirerek kümedeki tüm sanal makineye uygulamanız gerekir. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir. | DeployIfNotExists, Devre Dışı | 3.1.0 |
| Dağıtma - Log Analytics uzantısını Windows sanal makinelerinde etkinleştirilecek şekilde yapılandırma | Sanal makine görüntüsü tanımlanan listedeyse ve uzantı yüklü değilse Windows sanal makineleri için Log Analytics uzantısını dağıtın. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir. | DeployIfNotExists, Devre Dışı | 3.1.0 |
| Linux sanal makine ölçek kümeleri için Bağımlılık aracısını dağıtma | VM Görüntüsü (OS) tanımlanan listedeyse ve aracı yüklü değilse Linux sanal makine ölçek kümeleri için Bağımlılık aracısını dağıtın. Not: UpgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, uzantıyı kümedeki tüm sanal makinelere üzerinde yükseltmeyi çağırarak uygulamanız gerekir. CLI'da bu az vmss update-instances olacaktır. | deployIfNotExists | 5.0.0 |
| Azure monitoring Agent ayarlarıyla Linux sanal makine ölçek kümeleri için Bağımlılık aracısı dağıtma | VM Görüntüsü (OS) tanımlanan listedeyse ve aracı yüklü değilse, Azure İzleme Aracısı ayarlarıyla Linux sanal makine ölçek kümeleri için Bağımlılık aracısı dağıtın. Not: UpgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, uzantıyı kümedeki tüm sanal makinelere üzerinde yükseltmeyi çağırarak uygulamanız gerekir. CLI'da bu az vmss update-instances olacaktır. | DeployIfNotExists, Devre Dışı | 3.1.1 |
| Linux sanal makineleri için Bağımlılık aracısını dağıtma | VM Görüntüsü (OS) tanımlanan listedeyse ve aracı yüklü değilse Linux sanal makineleri için Bağımlılık aracısını dağıtın. | deployIfNotExists | 5.0.0 |
| Azure monitoring Agent ayarlarıyla Linux sanal makineleri için Bağımlılık aracısı dağıtma | VM Görüntüsü (OS) tanımlanan listedeyse ve aracı yüklü değilse, Azure İzleme Aracısı ayarlarıyla Linux sanal makineleri için Bağımlılık aracısını dağıtın. | DeployIfNotExists, Devre Dışı | 3.1.1 |
| Azure monitoring Agent ayarlarıyla Windows sanal makine ölçek kümelerinde etkinleştirilecek Bağımlılık aracısını dağıtma | Sanal makine görüntüsü tanımlanan listedeyse ve aracı yüklü değilse, Azure İzleme Aracısı ayarlarıyla Windows sanal makine ölçek kümeleri için Bağımlılık aracısını dağıtın. UpgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, uzantıyı güncelleştirerek kümedeki tüm sanal makinelere uygulamanız gerekir. | DeployIfNotExists, Devre Dışı | 1.2.2 |
| Azure monitoring Agent ayarlarıyla Windows sanal makinelerinde etkinleştirilecek Bağımlılık aracısını dağıtma | Sanal makine görüntüsü tanımlanan listedeyse ve aracı yüklü değilse, Azure İzleme Aracısı ayarlarıyla Windows sanal makineleri için Bağımlılık aracısı dağıtın. | DeployIfNotExists, Devre Dışı | 1.2.2 |
| Batch Hesabı için Tanılama Ayarlar Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Batch Hesabı oluşturulduğunda veya güncelleştirildiğinde Batch Hesabının bölgesel bir Olay Hub'ına akışla aktarılacağı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Batch Hesabı için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Batch Hesabı oluşturulduğunda veya güncelleştirildiğinde Batch Hesabının bölgesel log analytics çalışma alanına akışla aktarılacağı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Data Lake Analytics için Tanılama Ayarlar Olay Hub'ına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Analytics oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak için Data Lake Analytics tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Data Lake Analytics için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Analytics oluşturulduğunda veya güncelleştirildiğinde Data Lake Analytics'in bölgesel bir Log Analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Data Lake Storage 1. Nesil için Tanılama Ayarlar Olay Hub'ına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Storage 1. Nesil oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Data Lake Storage 1. Nesil tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| log analytics çalışma alanına Data Lake Storage 1. Nesil için Tanılama Ayarlar dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Storage 1. Nesil oluşturulduğunda veya güncelleştirildiğinde bölgesel log analytics çalışma alanına akış yapmak için Data Lake Storage 1. Nesil tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Olay Hub'ı için Tanılama Ayarlar Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Olay Hub'ı oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Olay Hub'ı için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Olay Hub'ı için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Olay Hub'ı oluşturulduğunda veya güncelleştirildiğinde Bölgesel Log Analytics çalışma alanına akış yapmak üzere Olay Hub'ı için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Key Vault için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Key Vault oluşturulduğunda veya güncelleştirildiğinde Key Vault'un bölgesel log analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Logic Apps için Tanılama Ayarlar Olay Hub'ına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Logic Apps oluşturulduğunda veya güncelleştirildiğinde Logic Apps'in bölgesel bir Olay Hub'ına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Logic Apps için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Logic Apps oluşturulduğunda veya güncelleştirildiğinde Logic Apps'in bölgesel log analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Ağ Güvenlik Grupları için Tanılama Ayarlar Dağıtma | Bu ilke, tanılama ayarlarını otomatik olarak ağ güvenlik gruplarına dağıtır. '{storagePrefixParameter}{NSGLocation}' adlı bir depolama hesabı otomatik olarak oluşturulur. | deployIfNotExists | 2.0.1 |
| Search Services için Tanılama Ayarlar Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Arama Hizmeti oluşturulduğunda veya güncelleştirildiğinde, Arama Hizmetleri'nin bölgesel bir Olay Hub'ına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Arama Hizmetleri için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Arama Hizmeti oluşturulduğunda veya güncelleştirildiğinde, Bölgesel Log Analytics çalışma alanına akış yapmak üzere Arama Hizmetleri için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub'a Service Bus için Tanılama Ayarlar Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Service Bus oluşturulduğunda veya güncelleştirildiğinde Service Bus'ın bölgesel bir Olay Hub'ına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Service Bus için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Service Bus oluşturulduğunda veya güncelleştirildiğinde Service Bus'ın bölgesel bir Log Analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Stream Analytics için Tanılama Ayarlar Olay Hub'ına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Stream Analytics oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Stream Analytics için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Stream Analytics için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Stream Analytics oluşturulduğunda veya güncelleştirildiğinde Bölgesel Log Analytics çalışma alanına akış yapmak üzere Stream Analytics tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Linux sanal makine ölçek kümeleri için Log Analytics uzantısını dağıtın. Aşağıdaki kullanımdan kaldırma bildirimine bakın | VM Görüntüsü (OS) tanımlanan listedeyse ve uzantı yüklü değilse Linux sanal makine ölçek kümeleri için Log Analytics uzantısını dağıtın. Not: upgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, yükseltmeyi çağırarak uzantıyı kümedeki tüm VM'lere uygulamanız gerekir. CLI'da bu az vmss update-instances olacaktır. Kullanımdan kaldırma bildirimi: Log Analytics aracısı 31 Ağustos 2024'den sonra desteklenmeyecektir. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir | deployIfNotExists | 3.0.0 |
| Linux VM'leri için Log Analytics uzantısını dağıtma. Aşağıdaki kullanımdan kaldırma bildirimine bakın | VM Görüntüsü (OS) tanımlanan listedeyse ve uzantı yüklü değilse Linux VM'leri için Log Analytics uzantısını dağıtın. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir | deployIfNotExists | 3.0.0 |
| API Management hizmetleri (microsoft.apimanagement/service) için kategori grubuna göre Günlüğe kaydetmeyi Event Hub'a etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri API Management hizmetleri için Olay Hub'ına (microsoft.apimanagement/service) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| LOG Analytics'e API Management hizmetleri (microsoft.apimanagement/service) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri API Management hizmetleri (microsoft.apimanagement/service) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| API Management hizmetlerinin (microsoft.apimanagement/service) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri API Management hizmetleri için Depolama Hesabına (microsoft.apimanagement/service) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Uygulama Yapılandırması (microsoft.appconfiguration/configurationstores) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Uygulama Yapılandırması (microsoft.appconfiguration/configurationstores) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Uygulama Yapılandırması (microsoft.appconfiguration/configurationstores) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Uygulama Yapılandırması (microsoft.appconfiguration/configurationstores) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Uygulama Yapılandırması (microsoft.appconfiguration/configurationstores) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Uygulama Yapılandırması için Depolama Hesabına (microsoft.appconfiguration/configurationstores) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e App Service (microsoft.web/sites) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri App Service (microsoft.web/sites) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e Uygulama grubu (microsoft.desktopvirtualization/applicationgroups) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Sanal Masaüstü Uygulama grubu (microsoft.desktopvirtualization/applicationgroups) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Uygulama Analizler için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme (Microsoft.AnalizlerLog Analytics'e /components) | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Application Analizler (Microsoft.Analizler) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Kanıtlama sağlayıcılarının (microsoft.attestation/attestationproviders) Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kanıtlama sağlayıcıları (microsoft.attestation/attestationproviders) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e kanıtlama sağlayıcıları (microsoft.attestation/attestationproviders) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kanıtlama sağlayıcıları (microsoft.attestation/attestationproviders) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Kanıtlama sağlayıcılarının (microsoft.attestation/attestationproviders) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kanıtlama sağlayıcıları için Depolama Hesabına (microsoft.attestation/attestationproviders) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Otomasyon Hesapları (microsoft.automation/automationaccounts) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Otomasyon Hesapları için Olay Hub'ına (microsoft.automation/automationaccounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Otomasyon Hesapları (microsoft.automation/automationaccounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Otomasyon Hesapları (microsoft.automation/automationaccounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Otomasyon Hesaplarının (microsoft.automation/automationaccounts) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Otomasyon Hesapları için Depolama Hesabına (microsoft.automation/automationaccounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| OLAY Hub'ına AVS Özel bulutları (microsoft.avs/privateclouds) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri AVS Özel bulutları (microsoft.avs/privateclouds) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| LOG Analytics'e AVS Özel bulutları (microsoft.avs/privateclouds) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri AVS Özel bulutları (microsoft.avs/privateclouds) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| AVS Özel bulutlarının (microsoft.avs/privateclouds) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri AVS Özel bulutları (microsoft.avs/privateclouds) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Redis için Azure Cache (microsoft.cache/redis) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Redis için Azure Cache için Olay Hub'ına (microsoft.cache/redis) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Redis için Azure Cache (microsoft.cache/redis) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Redis için Azure Cache (microsoft.cache/redis) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Redis için Azure Cache (microsoft.cache/redis) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Redis için Azure Cache için Depolama Hesabına (microsoft.cache/redis) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e Azure Cosmos DB (microsoft.documentdb/databaseaccounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Cosmos DB (microsoft.documentdb/databaseaccounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Azure FarmBeats (microsoft.agfoodplatform/farmbeats) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure FarmBeats (microsoft.agfoodplatform/farmbeats) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Azure FarmBeats (microsoft.agfoodplatform/farmbeats) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure FarmBeats (microsoft.agfoodplatform/farmbeats) için Log Analytics çalışma alanına yönlendirmek için bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Azure FarmBeats (microsoft.agfoodplatform/farmbeats) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure FarmBeats için Depolama Hesabına (microsoft.agfoodplatform/farmbeats) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning (microsoft.machinelearningservices/workspaces) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Machine Learning için Bir Olay Hub'ına (microsoft.machinelearningservices/workspaces) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure Machine Learning (microsoft.machinelearningservices/workspaces) için Log Analytics'e kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Machine Learning (microsoft.machinelearningservices/workspaces) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning (microsoft.machinelearningservices/workspaces) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirerek Depolama | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Machine Learning için Depolama Hesabına (microsoft.machinelearningservices/workspaces) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Bastions (microsoft.network/bastionhosts) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bastions için Event Hub'a (microsoft.network/bastionhosts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Bastions (microsoft.network/bastionhosts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bastions (microsoft.network/bastionhosts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Bastions (microsoft.network/bastionhosts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirerek Depolama | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bastions için Depolama Hesabına (microsoft.network/bastionhosts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Olay Hub'ına Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler için Olay Hub'ına (microsoft.cognitiveservices/accounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler için Depolama Hesabına (microsoft.cognitiveservices/accounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kapsayıcı kayıt defterleri için Olay Hub'ına (microsoft.containerregistry/registries) yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, kapsayıcı kayıt defterleri (microsoft.containerregistry/registries) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Kapsayıcı kayıt defterlerinin (microsoft.containerregistry/registries) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Kapsayıcı kayıt defterleri için Depolama Hesabına (microsoft.containerregistry/registries) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid Etki Alanları (microsoft.eventgrid/domains) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid Etki Alanları için Event Hub'a (microsoft.eventgrid/domains) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Event Grid Etki Alanları (microsoft.eventgrid/domains) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid Etki Alanları (microsoft.eventgrid/domains) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid Etki Alanları 'nın (microsoft.eventgrid/domains) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid Etki Alanları için Depolama Hesabına (microsoft.eventgrid/domains) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid İş Ortağı Ad Alanları (microsoft.eventgrid/partnernamespaces) için event hub'ına kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid İş Ortağı Ad Alanları (microsoft.eventgrid/partnernamespaces) için event hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Event Grid İş Ortağı Ad Alanları (microsoft.eventgrid/partnernamespaces) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid İş Ortağı Ad Alanları (microsoft.eventgrid/partnernamespaces) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid İş Ortağı Ad Alanlarının (microsoft.eventgrid/partnernamespaces) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid İş Ortağı Ad Alanları için Depolama Hesabına (microsoft.eventgrid/partnernamespaces) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid Konuları için kategori grubuna göre günlüğe kaydetmeyi (microsoft.eventgrid/topics) Event Hub'a etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid Konuları (microsoft.eventgrid/topics) için Event Hub'a yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Event Grid Konuları (microsoft.eventgrid/topics) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, Event Grid Konuları (microsoft.eventgrid/topics) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid Konuları (microsoft.eventgrid/topics) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirerek Depolama | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Grid Konuları (microsoft.eventgrid/topics) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hubs Ad Alanları (microsoft.eventhub/namespaces) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Hubs Ad Alanları için Olay Hub'ına (microsoft.eventhub/namespaces) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Event Hubs Ad Alanları (microsoft.eventhub/namespaces) için Log Analytics'e kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Hubs Ad Alanları (microsoft.eventhub/namespaces) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hubs Ad Alanlarının (microsoft.eventhub/namespaces) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Event Hubs Ad Alanları için Depolama Hesabına (microsoft.eventhub/namespaces) yönlendirmek için bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Güvenlik Duvarı (microsoft.network/azurefirewalls) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Güvenlik Duvarı (microsoft.network/azurefirewalls) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Front Door ve CDN profilleri (microsoft.cdn/profiles) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Front Door ve CDN profilleri (microsoft.cdn/profiles) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Front Door ve CDN profilleri (microsoft.cdn/profiles) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Front Door ve CDN profilleri (microsoft.cdn/profiles) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Front Door ve CDN profillerinin (microsoft.cdn/profiles) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Front Door ve CDN profilleri (microsoft.cdn/profiles) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Front Door ve CDN profilleri (microsoft.network/frontdoors) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Front Door ve CDN profilleri (microsoft.network/frontdoors) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Front Door ve CDN profilleri (microsoft.network/frontdoors) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Front Door ve CDN profilleri (microsoft.network/frontdoors) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Front Door ve CDN profillerinin (microsoft.network/frontdoors) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Front Door ve CDN profilleri için Depolama Hesabına (microsoft.network/frontdoors) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| İşlev Uygulaması (microsoft.web/sites) için Log Analytics'e kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri İşlev Uygulaması (microsoft.web/sites) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e Konak havuzu (microsoft.desktopvirtualization/hostpools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Sanal Masaüstü Konak havuzu (microsoft.desktopvirtualization/hostpools) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| IoT Hub (microsoft.devices/iothubs) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri IoT Hub için Olay Hub'ına (microsoft.devices/iothubs) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e IoT Hub (microsoft.devices/iothubs) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri IoT Hub (microsoft.devices/iothubs) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| IoT Hub 'ın (microsoft.devices/iothubs) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri IoT Hub için Depolama Hesabına (microsoft.devices/iothubs) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Olay Hub'ına Anahtar kasaları (microsoft.keyvault/vaults) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Anahtar kasaları için Olay Hub'ına (microsoft.keyvault/vaults) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Anahtar kasaları (microsoft.keyvault/vaults) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Anahtar kasaları (microsoft.keyvault/vaults) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Anahtar kasaları (microsoft.keyvault/vaults) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Anahtar kasaları için Depolama Hesabına (microsoft.keyvault/vaults) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics çalışma alanları (microsoft.operationalinsights/workspaces) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Log Analytics çalışma alanları (microsoft.operationalinsights/workspaces) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics çalışma alanları (microsoft.operationalinsights/workspaces) için Log Analytics'e kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Log Analytics çalışma alanları (microsoft.operationalinsights/workspaces) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics çalışma alanlarının (microsoft.operationalinsights/workspaces) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Log Analytics çalışma alanları (microsoft.operationalinsights/workspaces) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Yönetilen HSM'ler (microsoft.keyvault/managedhsms) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Yönetilen HSM'ler için Olay Hub'ına (microsoft.keyvault/managedhsms) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Yönetilen HSM'ler (microsoft.keyvault/managedhsms) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Yönetilen HSM'ler (microsoft.keyvault/managedhsms) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Yönetilen HSM'lerin (microsoft.keyvault/managedhsms) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Yönetilen HSM'ler için Depolama Hesabına (microsoft.keyvault/managedhsms) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Media Services (microsoft.media/mediaservices) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Media Services için Olay Hub'ına (microsoft.media/mediaservices) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Media Services (microsoft.media/mediaservices) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Media Services (microsoft.media/mediaservices) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Media Services (microsoft.media/mediaservices) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirerek Depolama | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Media Services için Depolama Hesabına (microsoft.media/mediaservices) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Olay Hub'ına Microsoft Purview hesapları (microsoft.purview/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Microsoft Purview hesapları (microsoft.purview/accounts) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Microsoft Purview hesapları (microsoft.purview/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Microsoft Purview hesapları (microsoft.purview/accounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Microsoft Purview hesapları (microsoft.purview/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Microsoft Purview hesapları (microsoft.purview/accounts) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a microsoft.network/p2svpngateways için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.network/p2svpngateways için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Enable logging by category group for microsoft.network/p2svpngateways to Log Analytics | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.network/p2svpngateways için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için microsoft.network/p2svpngateways için kategori grubuna göre günlüğe kaydetmeyi etkinleştirin | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.network/p2svpngateways için bir Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e PostgreSQL esnek sunucusu (microsoft.dbforpostgresql/flexibleservers) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri PostgreSQL için Azure Veritabanı esnek sunucu (microsoft.dbforpostgresql/flexibleservers) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Genel IP adresleri (microsoft.network/publicipaddresses) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Genel IP adresleri (microsoft.network/publicipaddresses) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics'e Genel IP adresleri (microsoft.network/publicipaddresses) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, genel IP adresleri (microsoft.network/publicipaddresses) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Genel IP adreslerinin (microsoft.network/publicipaddresses) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Genel IP adresleri (microsoft.network/publicipaddresses) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub'a Service Bus Ad Alanları (microsoft.servicebus/namespaces) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Service Bus Ad Alanları için Olay Hub'ına (microsoft.servicebus/namespaces) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Service Bus Ad Alanları (microsoft.servicebus/ad alanları) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Service Bus Ad Alanları (microsoft.servicebus/ad alanları) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Service Bus Ad Alanları 'nın (microsoft.servicebus/namespaces) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Service Bus Ad Alanları için Depolama Hesabına (microsoft.servicebus/namespaces) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a SignalR (microsoft.signalrservice/signalr) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SignalR için Event Hub'a (microsoft.signalrservice/signalr) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| SignalR (microsoft.signalrservice/signalr) için Log Analytics'e kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SignalR (microsoft.signalrservice/signalr) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| SignalR 'nin (microsoft.signalrservice/signalr) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SignalR için Depolama Hesabına (microsoft.signalrservice/signalr) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| OLAY Hub'ına SQL veritabanları (microsoft.sql/sunucular/veritabanları) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL veritabanları (microsoft.sql/sunucular/veritabanları) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| LOG Analytics'e SQL veritabanları (microsoft.sql/sunucular/veritabanları) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL veritabanları (microsoft.sql/sunucular/veritabanları) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| SQL veritabanlarının (microsoft.sql/sunucular/veritabanları) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL veritabanları (microsoft.sql/sunucular/veritabanları) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| EVENT Hub'a SQL yönetilen örnekleri (microsoft.sql/managedinstances) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL yönetilen örnekleri (microsoft.sql/managedinstances) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| LOG Analytics'e SQL yönetilen örnekleri (microsoft.sql/managedinstances) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL yönetilen örnekleri (microsoft.sql/managedinstances) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| DEPOLAMA için SQL yönetilen örnekleri (microsoft.sql/managedinstances) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri SQL yönetilen örnekleri (microsoft.sql/managedinstances) için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Olay Hub'ına Video Çözümleyicileri (microsoft.media/videoanalyzers) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Video Çözümleyicileri için Olay Hub'ına (microsoft.media/videoanalyzers) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Video Çözümleyicileri (microsoft.media/videoanalyzers) için Log Analytics'e kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, video çözümleyicileri (microsoft.media/videoanalyzers) için günlükleri Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Video Çözümleyicileri 'nin (microsoft.media/videoanalyzers) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Video Çözümleyicileri için Depolama Hesabına (microsoft.media/videoanalyzers) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Sanal ağ geçitleri (microsoft.network/virtualnetworkgateways) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Sanal ağ geçitleri için Bir Olay Hub'ına (microsoft.network/virtualnetworkgateways) yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Sanal ağ geçitleri (microsoft.network/virtualnetworkgateways) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Sanal ağ geçitleri (microsoft.network/virtualnetworkgateways) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Sanal ağ geçitleri (microsoft.network/virtualnetworkgateways) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri sanal ağ geçitleri için Depolama Hesabına (microsoft.network/virtualnetworkgateways) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Birimler (microsoft.netapp/netappaccounts/capacitypools/volumes) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Birimler için Olay Hub'ına (microsoft.netapp/netappaccounts/capacitypools/volumes) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Birimler (microsoft.netapp/netappaccounts/capacitypools/volumes) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Birimler (microsoft.netapp/netappaccounts/capacitypools/volumes) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Birimlerin (microsoft.netapp/netappaccounts/capacitypools/volumes) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri birimler için Depolama Hesabına (microsoft.netapp/netappaccounts/capacitypools/volumes) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Web PubSub Hizmeti (microsoft.signalrservice/webpubsub) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bir Web PubSub Hizmeti için Olay Hub'ına (microsoft.signalrservice/webpubsub) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Web PubSub Hizmeti (microsoft.signalrservice/webpubsub) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Web PubSub Hizmeti (microsoft.signalrservice/webpubsub) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Web PubSub Hizmeti 'nin (microsoft.signalrservice/webpubsub) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Web PubSub Hizmeti için Depolama Hesabına (microsoft.signalrservice/webpubsub) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e Çalışma Alanı (microsoft.desktopvirtualization/workspaces) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Sanal Masaüstü Çalışma Alanı (microsoft.desktopvirtualization/workspaces) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Linux Arc özellikli makinelerde Azure İzleyici Aracısı yüklü olmalıdır | Linux Arc özellikli makineler, dağıtılan Azure İzleyici Aracısı aracılığıyla izlenmeli ve güvenli hale getirilmelidir. Azure İzleyici Aracısı, konuk işletim sisteminden telemetri verilerini toplar. Bu ilke desteklenen bölgelerde Arc özellikli makineleri denetler. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Linux sanal makine ölçek kümelerinin Azure İzleyici Aracısı yüklü olmalıdır | Linux sanal makine ölçek kümeleri, dağıtılan Azure İzleyici Aracısı aracılığıyla izlenmeli ve güvenli hale getirilmelidir. Azure İzleyici Aracısı, konuk işletim sisteminden telemetri verilerini toplar. Bu ilke, desteklenen bölgelerde desteklenen işletim sistemi görüntüleriyle sanal makine ölçek kümelerini denetler. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Linux sanal makinelerinde Azure İzleyici Aracısı yüklü olmalıdır | Linux sanal makineleri, dağıtılan Azure İzleyici Aracısı aracılığıyla izlenmeli ve güvenli hale getirilmelidir. Azure İzleyici Aracısı, konuk işletim sisteminden telemetri verilerini toplar. Bu ilke, desteklenen bölgelerde desteklenen işletim sistemi görüntülerine sahip sanal makineleri denetler. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Log Analytics uzantısı, listelenen sanal makine görüntüleri için sanal makine ölçek kümelerinde etkinleştirilmelidir | Sanal makine görüntüsü tanımlanan listede değilse ve uzantı yüklü değilse, sanal makine ölçek kümelerini uyumsuz olarak bildirir. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Log Analytics çalışma alanları genel ağlardan günlük alımını ve sorgulamayı engellemelidir | Genel ağlardan günlük alımını ve sorgularını engelleyerek çalışma alanı güvenliğini geliştirin. Bu çalışma alanında yalnızca özel bağlantı bağlı ağlar günlükleri alıp sorgulayabilecektir. https://aka.ms/AzMonPrivateLink#configure-log-analytics adresinden daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Log Analytics Çalışma Alanları, Azure Active Directory tabanlı olmayan alımı engellemelidir. | Azure Active Directory kimlik doğrulaması gerektirmek için günlük alımının zorunlu olması, saldırgandan gelen kimliği doğrulanmamış günlükleri önler ve bu da sistemde yanlış durum, yanlış uyarılar ve yanlış günlüklerin depolanmasına neden olabilir. | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Genel IP adreslerinde Azure DDoS Koruması için kaynak günlükleri etkinleştirilmelidir | Log Analytics çalışma alanına akış yapmak için tanılama ayarlarında genel IP adresleri için kaynak günlüklerini etkinleştirin. Bildirimler, raporlar ve akış günlükleri aracılığıyla DDoS saldırılarını azaltmak için yapılan saldırı trafiği ve eylemleri hakkında ayrıntılı görünürlük elde edin. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Desteklenen kaynaklarda denetim için kaynak günlükleri etkinleştirilmelidir | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Seçili kaynak türlerinde denetim kategori grubu için bir tanılama ayarının varlığı, bu günlüklerin etkinleştirilmesini ve yakalanmasını sağlar. Geçerli kaynak türleri, "Denetim" kategori grubunu destekleyenlerdir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure İzleyici'de kaydedilen sorgular, günlük şifrelemesi için müşteri depolama hesabına kaydedilmelidir | Depolama hesabı şifrelemesi ile kaydedilen sorguları korumak için depolama hesabını Log Analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'de kayıtlı sorgularınıza erişim üzerinde daha fazla denetim sağlamak için gereklidir. Yukarıdakilerle ilgili diğer ayrıntılar için bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Etkinlik günlüklerine sahip kapsayıcıyı içeren Depolama hesabın BYOK ile şifrelenmesi gerekir | Bu ilke, etkinlik günlüklerine sahip kapsayıcıyı içeren Depolama hesabının KAG ile şifrelenip şifrelenmediğini denetler. İlke yalnızca depolama hesabı tasarım gereği etkinlik günlükleri ile aynı abonelikte yer alırsa çalışır. Bekleyen Azure Depolama şifrelemesi hakkında daha fazla bilgiyi burada https://aka.ms/azurestoragebyokbulabilirsiniz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Eski Log Analytics uzantısı Azure Arc özellikli Linux sunucularına yüklenmemelidir | Eski aracılardan Azure İzleyici Aracısı'na geçişin son adımı olarak eski Log Analytics Aracısı'nın yüklenmesini otomatik olarak önleyin. Mevcut eski uzantıları kaldırdıktan sonra bu ilke, Azure Arc özellikli Linux sunucularında eski aracı uzantısının gelecekteki tüm yüklemelerini reddeder. Daha fazla bilgi edinin: https://aka.ms/migratetoAMA | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Eski Log Analytics uzantısı Azure Arc özellikli Windows sunucularına yüklenmemelidir | Eski aracılardan Azure İzleyici Aracısı'na geçişin son adımı olarak eski Log Analytics Aracısı'nın yüklenmesini otomatik olarak önleyin. Mevcut eski uzantıları kaldırdıktan sonra bu ilke, Azure Arc özellikli Windows sunucularında eski aracı uzantısının gelecekteki tüm yüklemelerini reddeder. Daha fazla bilgi edinin: https://aka.ms/migratetoAMA | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Eski Log Analytics uzantısı Linux sanal makine ölçek kümelerine yüklenmemelidir | Eski aracılardan Azure İzleyici Aracısı'na geçişin son adımı olarak eski Log Analytics Aracısı'nın yüklenmesini otomatik olarak önleyin. Mevcut eski uzantıları kaldırdıktan sonra, bu ilke Linux sanal makine ölçek kümelerinde eski aracı uzantısının gelecekteki tüm yüklemelerini reddeder. Daha fazla bilgi edinin: https://aka.ms/migratetoAMA | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Eski Log Analytics uzantısı Linux sanal makinelerine yüklenmemelidir | Eski aracılardan Azure İzleyici Aracısı'na geçişin son adımı olarak eski Log Analytics Aracısı'nın yüklenmesini otomatik olarak önleyin. Mevcut eski uzantıları kaldırdıktan sonra, bu ilke Linux sanal makinelerinde eski aracı uzantısının gelecekteki tüm yüklemelerini reddeder. Daha fazla bilgi edinin: https://aka.ms/migratetoAMA | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Eski Log Analytics uzantısı sanal makine ölçek kümelerine yüklenmemelidir | Eski aracılardan Azure İzleyici Aracısı'na geçişin son adımı olarak eski Log Analytics Aracısı'nın yüklenmesini otomatik olarak önleyin. Mevcut eski uzantıları kaldırdıktan sonra, bu ilke Windows sanal makine ölçek kümelerinde eski aracı uzantısının gelecekteki tüm yüklemelerini reddeder. Daha fazla bilgi edinin: https://aka.ms/migratetoAMA | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Eski Log Analytics uzantısı sanal makinelere yüklenmemelidir | Eski aracılardan Azure İzleyici Aracısı'na geçişin son adımı olarak eski Log Analytics Aracısı'nın yüklenmesini otomatik olarak önleyin. Mevcut eski uzantıları kaldırdıktan sonra, bu ilke Windows sanal makinelerinde eski aracı uzantısının gelecekteki tüm yüklemelerini reddeder. Daha fazla bilgi edinin: https://aka.ms/migratetoAMA | Reddet, Denetle, Devre Dışı | 1.0.0 |
| Log Analytics uzantısı Sanal Makine Ölçek Kümeleri | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux Sanal Makine Ölçek Kümeleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Sanal makineler belirtilen çalışma alanına bağlanmalıdır | İlke/girişim atamasında belirtilen Log Analytics çalışma alanında günlüğe kaydedilmiyorsa sanal makineleri uyumsuz olarak raporlar. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Sanal makinelerde Log Analytics uzantısı yüklü olmalıdır | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Windows Arc özellikli makinelerde Azure İzleyici Aracısı yüklü olmalıdır | Windows Arc özellikli makineler, dağıtılan Azure İzleyici Aracısı aracılığıyla izlenmeli ve güvenli hale getirilmelidir. Azure İzleyici Aracısı, konuk işletim sisteminden telemetri verilerini toplar. Desteklenen bölgelerdeki Windows Arc özellikli makineler Azure İzleyici Aracısı dağıtımı için izlenir. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Windows sanal makine ölçek kümelerinin Azure İzleyici Aracısı yüklü olmalıdır | Windows sanal makine ölçek kümeleri, dağıtılan Azure İzleyici Aracısı aracılığıyla izlenmeli ve güvenli hale getirilmelidir. Azure İzleyici Aracısı, konuk işletim sisteminden telemetri verilerini toplar. Desteklenen işletim sistemine sahip ve desteklenen bölgelerdeki sanal makine ölçek kümeleri Azure İzleyici Aracısı dağıtımı için izlenir. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Windows sanal makinelerinde Azure İzleyici Aracısı yüklü olmalıdır | Dağıtılan Azure İzleyici Aracısı aracılığıyla Windows sanal makinelerinin izlenmesi ve güvenliğinin sağlanması gerekir. Azure İzleyici Aracısı, konuk işletim sisteminden telemetri verilerini toplar. Desteklenen işletim sistemine sahip ve desteklenen bölgelerdeki Windows sanal makineleri Azure İzleyici Aracısı dağıtımı için izlenir. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Çalışma kitapları, denetlediğiniz depolama hesaplarına kaydedilmelidir | Kendi depolama alanınızı getirin (BYOS) ile çalışma kitaplarınız sizin denetlediğiniz bir depolama hesabına yüklenir. Bu, bekleyen şifreleme ilkesini, yaşam süresi yönetim ilkesini ve ağ erişimini denetlediğiniz anlamına gelir. Ancak bu depolama hesabıyla ilişkili maliyetlerden siz sorumlu olursunuz. Daha fazla bilgi için https://aka.ms/workbooksByos adresini ziyaret edin. | deny, Deny, audit, Audit, disabled, Disabled | 1.1.0 |
Ağ
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Container Registry bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Container Registry'leri denetler. | Denetim, Devre Dışı | 1.0.0-önizleme |
| Tüm Azure sanal ağ geçidi bağlantılarına özel bir IPsec/IKE ilkesi uygulanmalıdır | Bu ilke, tüm Azure sanal ağ geçidi bağlantılarının özel bir İnternet Protokolü Güvenliği (Ipsec)/İnternet Anahtar Değişimi (IKE) ilkesi kullanmasını sağlar. Desteklenen algoritmalar ve anahtar güçlü yönleri - https://aka.ms/AA62kb0 | Denetim, Devre Dışı | 1.0.0 |
| Tüm akış günlüğü kaynakları etkin durumda olmalıdır | Akış günlüğü durumunun etkinleştirilip etkinleştirilmediğini doğrulamak için akış günlüğü kaynaklarını denetleyin. Akış günlüklerinin etkinleştirilmesi, IP trafiği akışı hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| App Service uygulamaları sanal ağ hizmet uç noktası kullanmalıdır | Azure sanal ağından seçilen alt ağlardan uygulamanıza erişimi kısıtlamak için sanal ağ hizmet uç noktalarını kullanın. App Service hizmet uç noktaları hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Her sanal ağ için denetim akışı günlükleri yapılandırması | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için sanal ağ denetimi. Akış günlüklerinin etkinleştirilmesi, sanal ağ üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| Azure Uygulaması lication Gateway, Azure WAF ile dağıtılmalıdır | Azure Uygulaması Lication Gateway kaynaklarının Azure WAF ile dağıtılması gerekir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure güvenlik duvarı ilkesi, uygulama kuralları içinde TLS incelemesini etkinleştirmelidir | HTTPS'de kötü amaçlı etkinlikleri algılamak, uyarmak ve azaltmak için tüm uygulama kuralları için TLS incelemesinin etkinleştirilmesi önerilir. Azure Güvenlik Duvarı ile TLS denetimi hakkında daha fazla bilgi edinmek içinhttps://aka.ms/fw-tlsinspect | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı Premium, TLS incelemesini etkinleştirmek için geçerli bir ara sertifika yapılandırmalıdır | HTTPS'de kötü amaçlı etkinlikleri algılamak, uyarmak ve azaltmak için geçerli bir ara sertifika yapılandırın ve premium TLS Azure Güvenlik Duvarı etkinleştirin. Azure Güvenlik Duvarı ile TLS denetimi hakkında daha fazla bilgi edinmek içinhttps://aka.ms/fw-tlsinspect | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure VPN ağ geçitleri 'temel' SKU kullanmamalıdır | Bu ilke, VPN ağ geçitlerinin 'temel' SKU kullanmamasını sağlar. | Denetim, Devre Dışı | 1.0.0 |
| Azure Uygulaması lication Gateway'de Azure Web Uygulaması Güvenlik Duvarı istek gövdesi incelemesi etkinleştirilmelidir | Azure Uygulaması lication Gateway'lerle ilişkili Web Uygulaması Güvenlik Duvarı İstek gövdesi incelemesinin etkinleştirildiğinden emin olun. Bu, WAF'nin HTTP gövdesinde HTTP üst bilgilerinde, tanımlama bilgilerinde veya URI'de değerlendirilemeyebilir özellikleri incelemesine olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door'daki Azure Web Uygulaması Güvenlik Duvarı istek gövdesi incelemesi etkinleştirilmelidir | Azure Front Door ile ilişkili Web Uygulaması Güvenlik Duvarı istek gövdesi incelemesinin etkinleştirildiğinden emin olun. Bu, WAF'nin HTTP gövdesinde HTTP üst bilgilerinde, tanımlama bilgilerinde veya URI'de değerlendirilemeyebilir özellikleri incelemesine olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Uygulaması Lication Gateway WAF için Bot Koruması etkinleştirilmelidir | Bu ilke tüm Azure Uygulaması lication Gateway Web Uygulaması Güvenlik Duvarı (WAF) ilkelerinde bot korumasının etkinleştirilmesini sağlar | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door WAF için Bot Koruması etkinleştirilmelidir | Bu ilke tüm Azure Front Door Web Uygulaması Güvenlik Duvarı (WAF) ilkelerinde bot korumasının etkinleştirilmesini sağlar | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Güvenlik Duvarı İlkesi Premium'da İzinsiz Giriş Algılama ve Önleme Sistemi'nin (IDPS) atlama listesi boş olmalıdır | İzinsiz Giriş Algılama ve Önleme Sistemi (IDPS) Atlama Listesi, atlama listesinde belirtilen IP adreslerine, aralıklara ve alt ağlara giden trafiği filtrelememenizi sağlar. Ancak, bilinen tehditleri daha iyi tanımlamak için tüm trafik akışlarında IDPS'nin etkinleştirilmesi yeniden tavsiye edilir. Azure Güvenlik Duvarı Premium ile Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) imzaları hakkında daha fazla bilgi edinmek için bkz.https://aka.ms/fw-idps-signature | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Ağ Güvenlik Grupları için Tanılama ayarlarını Log Analytics çalışma alanına yapılandırma | Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için tanılama ayarlarını Azure Ağ Güvenlik Grupları'na dağıtın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Trafik analizini etkinleştirmek için ağ güvenlik gruplarını yapılandırma | trafik analizi, ilke oluşturma sırasında sağlanan ayarlarla belirli bir bölgede barındırılan tüm ağ güvenlik grupları için etkinleştirilebilir. Trafik analizi zaten etkinse ilke ayarlarının üzerine yazılmaz. Akış Günlükleri, sahip olmayan Ağ güvenlik grupları için de etkinleştirilir. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Ağ güvenlik gruplarını trafik analizi için belirli çalışma alanını, depolama hesabını ve akış günlüğü saklama ilkesini kullanacak şekilde yapılandırma | Trafik analizi zaten etkinse ilke, ilke oluşturma sırasında sağlananlarla mevcut ayarlarının üzerine yazar. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Akış Günlüğünü ve Trafik Analizini etkinleştirmek için sanal ağı yapılandırma | Trafik analizi ve Akış günlükleri, ilke oluşturma sırasında sağlanan ayarlarla belirli bir bölgede barındırılan tüm sanal ağlar için etkinleştirilebilir. Bu ilke, bu özelliğin zaten etkin olduğu sanal ağlar için geçerli ayarın üzerine yazılmaz. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.1.1 |
| Akış günlükleri ve Trafik Analizi için çalışma alanı, depolama hesabı ve bekletme aralığını zorunlu kılmak için sanal ağları yapılandırma | Bir sanal ağda trafik analizi zaten etkinse, bu ilke, ilke oluşturma sırasında sağlananlarla mevcut ayarlarının üzerine yazar. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.1.2 |
| Cosmos DB bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış cosmos DB'leri denetler. | Denetim, Devre Dışı | 1.0.0 |
| Hedef ağ güvenlik grubuyla akış günlüğü kaynağı dağıtma | Belirli bir ağ güvenlik grubu için akış günlüğünü yapılandırılır. Bir ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmeye olanak tanır. Akış günlüğü bilinmeyen veya istenmeyen trafiği tanımlamaya, ağ yalıtımını ve kurumsal erişim kurallarıyla uyumluluğu doğrulamaya, güvenliği aşılmış IP'lerden ve ağ arabirimlerinden gelen ağ akışlarını analiz etmeye yardımcı olur. | deployIfNotExists | 1.1.0 |
| Hedef sanal ağ ile Akış Günlüğü kaynağı dağıtma | Belirli bir sanal ağ için akış günlüğünü yapılandırıyor. Sanal ağ üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmeye olanak tanır. Akış günlüğü bilinmeyen veya istenmeyen trafiği tanımlamaya, ağ yalıtımını ve kurumsal erişim kurallarıyla uyumluluğu doğrulamaya, güvenliği aşılmış IP'lerden ve ağ arabirimlerinden gelen ağ akışlarını analiz etmeye yardımcı olur. | DeployIfNotExists, Devre Dışı | 1.1.1 |
| Sanal ağlar oluşturulduğunda ağ izleyicisi dağıtma | Bu ilke, sanal ağlara sahip bölgelerde bir ağ izleyicisi kaynağı oluşturur. Ağ izleyicisi örneklerini dağıtmak için kullanılacak networkWatcherRG adlı bir kaynak grubunun mevcut olduğundan emin olmanız gerekir. | DeployIfNotExists | 1.0.0 |
| Azure Front Door WAF'de DDoS saldırılarına karşı koruma sağlamak için Hız Sınırı kuralını etkinleştirme | Azure Front Door için Azure Web Uygulaması Güvenlik Duvarı (WAF) hız sınırı kuralı, hız sınırı süresi boyunca belirli bir istemci IP adresinden uygulamaya izin verilen istek sayısını denetler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Olay Hub'ı bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Olay Hub'larını denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Güvenlik Duvarı İlkesi Premium, tüm gelen ve giden trafik akışlarını izlemek için tüm IDPS imza kurallarını etkinleştirmelidir | Trafik akışlarındaki bilinen tehditleri daha iyi tanımlamak için tüm İzinsiz Giriş Algılama ve Önleme Sistemi (IDPS) imza kurallarının etkinleştirilmesi yeniden tavsiye edilir. Azure Güvenlik Duvarı Premium ile Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) imzaları hakkında daha fazla bilgi edinmek için bkz.https://aka.ms/fw-idps-signature | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Güvenlik Duvarı İlkesi Premium, İzinsiz Giriş Algılama ve Önleme Sistemi'ni (IDPS) etkinleştirmelidir | İzinsiz Giriş Algılama ve Önleme Sistemi'ni (IDPS) etkinleştirmek, ağınızı kötü amaçlı etkinlikler için izlemenize, bu etkinlikle ilgili bilgileri günlüğe kaydetmenize, raporlamanıza ve isteğe bağlı olarak engellemeye çalışmanıza olanak tanır. Azure Güvenlik Duvarı Premium ile Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) hakkında daha fazla bilgi edinmek için bkz.https://aka.ms/fw-idps | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Akış günlükleri her ağ güvenlik grubu için yapılandırılmalıdır | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için ağ güvenlik gruplarını denetleyin. Akış günlüklerinin etkinleştirilmesi, ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.1.0 |
| Ağ geçidi alt ağları bir ağ güvenlik grubuyla yapılandırılmamalıdır | Ağ geçidi alt ağı bir ağ güvenlik grubuyla yapılandırıldığında bu ilke reddedilir. Ağ geçidi alt ağına bir ağ güvenlik grubu atamak, ağ geçidinin çalışmayı durdurmasına neden olur. | reddet | 1.0.0 |
| Key Vault bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Key Vault'ları denetler. | Denetim, Devre Dışı | 1.0.0 |
| WAF Yapılandırmasından WaF İlkesi'ne Application Gateway'de WAF Geçişi | WAF İlkesi yerine WAF Yapılandırmasına sahipseniz yeni WAF İlkesi'ne geçmek isteyebilirsiniz. Bundan sonra güvenlik duvarı ilkesi WAF ilke ayarlarını, yönetilen kural kümelerini, dışlamaları ve devre dışı bırakılmış kural gruplarını destekleyecektir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Ağ arabirimleri IP iletmeyi devre dışı bırakmalıdır | Bu ilke, IP iletmeyi etkinleştiren ağ arabirimlerini reddeder. IP iletme ayarı, Azure'ın bir ağ arabirimi için kaynak ve hedef denetimini devre dışı bırakır. Bu, ağ güvenlik ekibi tarafından gözden geçirilmelidir. | reddet | 1.0.0 |
| Ağ arabirimlerinde genel IP'ler olmamalıdır | Bu ilke, herhangi bir genel IP ile yapılandırılan ağ arabirimlerini reddeder. Genel IP adresleri İnternet kaynaklarından Azure kaynaklarına gelen iletişime ve Azure kaynaklarından İnternet'e giden iletişime olanak sağlar. Bu, ağ güvenlik ekibi tarafından gözden geçirilmelidir. | reddet | 1.0.0 |
| Ağ İzleyicisi akış günlüklerinde trafik analizi etkinleştirilmelidir | Trafik analizi, Azure bulutunuzda trafik akışıyla ilgili içgörüler sağlamak için akış günlüklerini analiz eder. Azure aboneliklerinizdeki ağ etkinliğini görselleştirmek ve sık erişimli noktaları belirlemek, güvenlik tehditlerini tanımlamak, trafik akışı desenlerini anlamak, ağ yanlış yapılandırmalarını belirlemek ve daha fazlasını yapmak için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL Server bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm SQL Server'ları denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama Hesapları sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış Depolama Hesabını denetler. | Denetim, Devre Dışı | 1.0.0 |
| Abonelik, ek koruma katmanı sağlamak için Azure Güvenlik Duvarı Premium'ı yapılandırmalıdır | Azure Güvenlik Duvarı Premium, son derece hassas ve düzenlenmiş ortamların gereksinimlerini karşılayan gelişmiş tehdit koruması sağlar. aboneliğinize Azure Güvenlik Duvarı Premium dağıtın ve tüm hizmet trafiğinin Azure Güvenlik Duvarı Premium tarafından korunduğundan emin olun. Azure Güvenlik Duvarı Premium hakkında daha fazla bilgi edinmek içinhttps://aka.ms/fw-premium | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sanal makineler onaylı bir sanal ağa bağlanmalıdır | Bu ilke, onaylanmamış bir sanal ağa bağlı tüm sanal makineleri denetler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal ağlar Azure DDoS Koruması ile korunmalıdır | Azure DDoS Koruması ile sanal ağlarınızı hacimli saldırılara ve protokol saldırılarına karşı koruyun. Daha fazla bilgi için https://aka.ms/ddosprotectiondocs adresini ziyaret edin. | Değiştir, Denetle, Devre Dışı | 1.0.1 |
| Sanal ağlar belirtilen sanal ağ geçidini kullanmalıdır | Bu ilke, varsayılan yol belirtilen sanal ağ geçidine işaret etmiyorsa tüm sanal ağı denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| VPN ağ geçitleri noktadan siteye kullanıcılar için yalnızca Azure Active Directory (Azure AD) kimlik doğrulamasını kullanmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, VPN Gateway'lerin kimlik doğrulaması için yalnızca Azure Active Directory kimliklerini kullanmasını sağlayarak güvenliği artırır. Azure AD kimlik doğrulaması hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Web Uygulaması Güvenlik Duvarı (WAF), Application Gateway için tüm güvenlik duvarı kurallarını etkinleştirmelidir | Tüm Web Uygulaması Güvenlik Duvarı (WAF) kurallarının etkinleştirilmesi, uygulama güvenliğinizi güçlendirir ve web uygulamalarınızı yaygın güvenlik açıklarına karşı korur. Application Gateway ile Web Uygulaması Güvenlik Duvarı (WAF) hakkında daha fazla bilgi edinmek için bkz.https://aka.ms/waf-ag | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Web Uygulaması Güvenlik Duvarı (WAF) Application Gateway için belirtilen modu kullanmalıdır | Application Gateway için tüm Web Uygulaması Güvenlik Duvarı ilkelerinde 'Algılama' veya 'Önleme' modunun kullanılmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Web Uygulaması Güvenlik Duvarı (WAF) Azure Front Door Service için belirtilen modu kullanmalıdır | Azure Front Door Service için tüm Web Uygulaması Güvenlik Duvarı ilkelerinde 'Algılama' veya 'Önleme' modunun kullanılmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Portal
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Paylaşılan panolarda satır içi içeriğe sahip markdown kutucukları olmamalıdır | Markdown kutucuklarında satır içi içeriğe sahip paylaşılan bir pano oluşturmaya izin verme ve içeriğin çevrimiçi ortamda barındırılan bir markdown dosyası olarak depolanmasını zorunlu kılma. Markdown kutucuğunda satır içi içerik kullanıyorsanız, içeriğin şifrelemesini yönetemezsiniz. Kendi depolama alanınızı yapılandırarak şifreleyebilir, çift şifreleyebilir ve hatta kendi anahtarlarınızı getirebilirsiniz. Bu ilkenin etkinleştirilmesi, kullanıcıların paylaşılan panolar REST API'sinin 2020-09-01-preview veya üzeri sürümünü kullanmasını kısıtlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Dayanıklılık
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: API Management Hizmeti Alanlar Arası Yedekli olmalıdır | API Management Hizmeti Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. SKU adı 'Premium' ise ve bölge dizisinde en az iki girdi varsa API Management Hizmeti Alanlar Arası Yedeklidir. Bu ilke, bir bölge kesintisine dayanmak için gereken yedekliliğe sahip olmayan API Management Services'ı tanımlar. | Denetim, Reddetme, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: App Service Planları Alanlar Arası Yedekli olmalıdır | App Service Planları Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılamaz. Bir App Service Planı için 'zoneRedundant' özelliği 'false' olarak ayarlandığında, Bölge Yedekliliği için yapılandırılmaz. Bu ilke, App Service Planları için Bölge Yedekliliği yapılandırmasını tanımlar ve uygular. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Application Gateway'ler Bölge Dayanıklı olmalıdır | Application Gateway'ler Bölgeye Hizalanmış, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Bölge dizilerinde bir girdi olmayan Application Gatewaysm, Bölgeye Hizalanmış olarak kabul edilir. Buna karşılık, bölge dizisindeki Application Gatmways withn3 veya daha fazla girdi, Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, bu dayanıklılık yapılandırmalarını tanımlamaya ve zorlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure AI Arama Hizmeti Alanlar Arası Yedekli olmalıdır | Azure AI Arama Hizmeti Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılmaz. Kullanılabilirlik alanları, arama hizmetinize iki veya daha fazla çoğaltma eklediğinizde kullanılır. Her çoğaltma, bölge içinde farklı bir kullanılabilirlik alanına yerleştirilir. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Redis için Azure Cache Kurumsal & Flash Alanlar Arası Yedekli olmalıdır | Redis için Azure Cache Enterprise & Flash, Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Redis için Azure Cache Bölgeleri dizisinde 3'ten az giriş içeren Kurumsal ve Flash örnekleri Alanlar Arası Yedekli değildir. Bu ilke, bir bölge kesintisine dayanmak için gereken yedekliliğe sahip olmayan kurumsal ve Flash örneklerini Redis için Azure Cache tanımlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Redis için Azure Cache Alanlar Arası Yedekli olmalıdır | Redis için Azure Cache Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Redis için Azure Cache bölgeleri dizisinde 2'den az girdisi olan örnekler Alanlar Arası Yedekli değildir. Bu ilke, bir bölge kesintisine dayanmak için gereken yedekliliğe sahip olmayan Redis için Azure Cache örnekleri tanımlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Veri Gezgini Kümeleri Alanlar Arası Yedekli olmalıdır | Azure Veri Gezgini Kümeleri Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılmaz. Azure Veri Gezgini Kümesi, bölgeleri dizisinde en az iki girdi varsa Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, Azure Veri Gezgini Kümelerinizin Alanlar Arası Yedekli olmasını sağlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: MySQL için Azure Veritabanı Esnek Sunucu Bölge Dayanıklı olmalıdır | MySQL için Azure Veritabanı Esnek Sunucu, Bölgeye Hizalanmış, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Yüksek kullanılabilirlik için aynı bölgede bekleyen bir sunucu seçilen MySQL Sunucusu, Bölgeye Hizalanmış olarak kabul edilir. Buna karşılık, yüksek kullanılabilirlik için farklı bir bölgede olmak üzere seçilen bir bekleme sunucusuna sahip MySQL Sunucusu, Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, bu dayanıklılık yapılandırmalarını tanımlamaya ve zorlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: PostgreSQL için Azure Veritabanı Esnek Sunucu Bölge Dayanıklı olmalıdır | PostgreSQL için Azure Veritabanı Esnek Sunucu, Bölgeye Hizalanmış, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Yüksek kullanılabilirlik için aynı bölgede bekleyen bir sunucu seçilen PostgreSQL Sunucusu, Bölgeye Hizalanmış olarak kabul edilir. Buna karşılık, yüksek kullanılabilirlik için farklı bir bölgede olmak üzere bir bekleme sunucusu seçilen PostgreSQL Sunucusu, Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, bu dayanıklılık yapılandırmalarını tanımlamaya ve zorlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure HDInsight BölgeYle Hizalanmış olmalıdır | Azure HDInsight, Bölgeye Hizalı veya Değil olarak yapılandırılabilir. Bölgeleri dizisinde tam olarak bir girişi olan Azure HDInsight, Bölge Hizalı olarak kabul edilir. Bu ilke, bir Azure HDInsight kümesinin tek bir kullanılabilirlik alanı içinde çalışacak şekilde yapılandırılmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kubernetes Service Yönetilen Kümeleri Alanlar Arası Yedekli olmalıdır | Azure Kubernetes Service Yönetilen Kümeleri Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılmaz. İlke, kümedeki düğüm havuzlarını denetler ve kullanılabilirlik alanlarının tüm düğüm havuzları için ayarlandığından emin olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Yönetilen Grafana Alanlar Arası Yedekli olmalıdır | Azure Yönetilen Grafana, Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Azure Yönetilen Grafana örneği, 'zoneRedundancy' özelliği 'Enabled' olarak ayarlandığından Zone Redundant örneğidir. Bu ilkenin zorunlu tutulması, Azure Yönetilen Grafana'nızın bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak için bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Yedekleme ve Site Recovery Alanlar Arası Yedekli olmalıdır | Yedekleme ve Site Recovery, Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Yedekleme ve Site Recovery, 'standardTier Depolama Redundancy' özelliği 'ZoneRedundant' olarak ayarlandıysa Alanlar Arası Yedeklidir. Bu ilkenin zorunlu tutulması, Yedekleme ve Site Recovery'nin bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak ve bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Yedekleme Kasaları Alanlar Arası Yedekli olmalıdır | Yedekleme Kasaları Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılmaz. Yedekleme Kasaları, depolama ayarları türü 'ZoneRedundant' olarak ayarlandıysa ve dayanıklı olarak kabul edilirse Alanlar Arası Yedeklidir. Coğrafi Olarak Yedekli veya Yerel Olarak Yedekli Yedekleme Kasaları dayanıklı olarak kabul edilmez. Bu ilkenin zorunlu tutulması, Backup Vault'ların bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak için bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kapsayıcı Uygulaması Alanlar Arası Yedekli olmalıdır | Kapsayıcı Uygulaması Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Yönetilen ortamının 'ZoneRedundant' özelliği true olarak ayarlandıysa Kapsayıcı Uygulaması Alanlar Arası Yedeklidir. Bu ilke, bir bölge kesintisine dayanmak için gereken yedekliliğe sahip olmayan Kapsayıcı Uygulaması'nı tanımlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kapsayıcı Örnekleri Bölgeye Hizalanmış Olmalıdır | Kapsayıcı Örnekleri Bölge Hizalı veya Değil olarak yapılandırılabilir. Bölgeleri dizisinde yalnızca bir girdi varsa, Bölge Hizalı olarak kabul edilirler. Bu ilke, bunların tek bir kullanılabilirlik alanı içinde çalışacak şekilde yapılandırılmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kapsayıcı Kayıt Defteri Alanlar Arası Yedekli olmalıdır | Kapsayıcı Kayıt Defteri Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Bir Container Registry için zoneRedundancy özelliği 'Disabled' olarak ayarlandığında, kayıt defterinin Alanlar Arası Yedekli olmadığı anlamına gelir. Bu ilkenin zorunlu tutulması, Container Registry'nizin bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak için bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Cosmos Veritabanı Hesapları Alanlar Arası Yedekli olmalıdır | Cosmos Veritabanı Hesapları Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılamaz. 'enableMultipleWriteLocations' değeri 'true' olarak ayarlandıysa, tüm konumların 'isZoneRedundant' özelliği olmalıdır ve 'true' olarak ayarlanmalıdır. 'enableMultipleWriteLocations' değeri 'false' olarak ayarlandıysa birincil konumun ('failoverPriority' değeri 0) 'isZoneRedundant' özelliğine sahip olması ve 'true' olarak ayarlanması gerekir. Bu ilkenin zorunlu olması, Cosmos Veritabanı Hesaplarının alanlar arası yedeklilik için uygun şekilde yapılandırılmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Event Hubs Alanlar Arası Yedekli olmalıdır | Event Hubs, Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. 'zoneRedundant' özelliği 'true' olarak ayarlandıysa Event Hubs Alanlar Arası Yedeklidir. Bu ilkenin zorunlu tutulması, Event Hubs'ın bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak ve bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Güvenlik duvarları Bölge Dayanıklı olmalıdır | Güvenlik duvarları Bölgeye Hizalı, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Bölge dizisinde tam olarak bir girişi olan güvenlik duvarları, Bölgeye Hizalanmış olarak kabul edilir. Buna karşılık, bölgeleri dizisinde 3 veya daha fazla girişi olan güvenlik duvarları Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, bu dayanıklılık yapılandırmalarını tanımlamaya ve zorlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Yük Dengeleyiciler Bölge Dayanıklı olmalıdır | Temel dışında bir sku'su olan Load Balancer'lar ön uçlarındaki Genel IP adreslerinin dayanıklılığını devralır. 'Genel IP adresleri Bölge Dayanıklı olmalıdır' ilkesiyle birleştirildiğinde, bu yaklaşım bir bölge kesintisine dayanmak için gerekli yedekliliği güvence altına alır. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Yönetilen Diskler Bölge Dayanıklı olmalıdır | Yönetilen Diskler Alanlar Hizalı, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Tam olarak bir bölge ataması olan Yönetilen Diskler, Bölgeye Hizalı'dır. ZRS ile biten bir sku adıyla Yönetilen Diskler Alanlar Arası Yedeklidir. Bu ilke, Yönetilen Diskler için bu dayanıklılık yapılandırmalarının tanımlanmasına ve zorunlu tutulmasına yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: NAT ağ geçidi Bölge Hizalı olmalıdır | NAT ağ geçidi, Bölge Hizalı veya Değil olarak yapılandırılabilir. Bölge dizisinde tam olarak bir girişi olan NAT ağ geçidi, Bölgeye Hizalanmış olarak kabul edilir. Bu ilke, bir NAT ağ geçidinin tek bir kullanılabilirlik alanı içinde çalışacak şekilde yapılandırılmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Genel IP adresleri Bölge Dayanıklı olmalıdır | Genel IP adresleri, Bölgeye Hizalanmış, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Bölge dizisinde tam olarak bir giriş bulunan bölgesel genel IP adresleri, Bölgeye Hizalanmış olarak kabul edilir. Buna karşılık, bölge dizisinde 3 veya daha fazla giriş bulunan bölgesel genel IP adresleri Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, bu dayanıklılık yapılandırmalarını tanımlamaya ve zorlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Genel IP Ön Ekleri Bölge Dayanıklı olmalıdır | Genel IP Ön Ekleri, Bölgeye Hizalanmış, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Bölgeleri dizisinde tam olarak bir girişi olan genel IP ön ekleri, Bölgeye Hizalanmış olarak kabul edilir. Buna karşılık, bölgeleri dizisinde 3 veya daha fazla giriş içeren Genel IP ön ekleri Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, bu dayanıklılık yapılandırmalarını tanımlamaya ve zorlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Service Bus Alanlar Arası Yedekli olmalıdır | Service Bus, Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. Service Bus için 'zoneRedundant' özelliği 'false' olarak ayarlandığında, Bölge Yedekliliği için yapılandırılmadığı anlamına gelir. Bu ilke, Service Bus örnekleri için Bölge Yedekliliği yapılandırmasını tanımlar ve uygular. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Service Fabric Kümeleri Alanlar Arası Yedekli olmalıdır | Service Fabric Kümeleri Alanlar Arası Yedekli olacak veya yapılandırılmayacak şekilde yapılandırılabilir. nodeType'ta multipleAvailabilityZones değeri true olarak ayarlı olmayan Servicefabric Kümeleri Alanlar Arası Yedekli değildir. Bu ilke, bölge kesintisine dayanmak için gereken yedekliliğe sahip olmayan Servicefabric Kümelerini tanımlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: SQL Veritabanı Alanlar Arası Yedekli olmalıdır | SQL Veritabanı Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. 'zoneRedundant' ayarı 'false' olarak ayarlanmış veritabanları, alanlar arası yedeklilik için yapılandırılmaz. Bu ilke, Azure'da kullanılabilirliği ve dayanıklılığı geliştirmek için alanlar arası yedeklilik yapılandırması gerektiren SQL veritabanlarının tanımlanmasına yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: SQL Elastik veritabanı havuzları Alanlar Arası Yedekli olmalıdır | SQL Elastik veritabanı havuzları Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. 'zoneRedundant' özelliği 'true' olarak ayarlandıysa SQL Elastik veritabanı havuzları Alanlar Arası Yedeklidir. Bu ilkenin zorunlu tutulması, Event Hubs'ın bölge dayanıklılığı için uygun şekilde yapılandırıldığından emin olmak ve bölge kesintileri sırasında kapalı kalma süresi riskini azaltmaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: SQL Yönetilen Örneği Alanlar Arası Yedekli olmalıdır | SQL Yönetilen Örneği Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. 'zoneRedundant' ayarı 'false' olarak ayarlanmış örnekler, alanlar arası yedeklilik için yapılandırılmaz. Bu ilke, Azure'da kullanılabilirliği ve dayanıklılığı geliştirmek için alanlar arası yedeklilik yapılandırması gerektiren SQL managedInstance'ların tanımlanmasına yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Depolama Hesapları Alanlar Arası Yedekli olmalıdır | Depolama Hesapları Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılamaz. bir Depolama Hesabının SKU adı 'ZRS' ile bitmiyorsa veya türü 'Depolama' ise, Alanlar Arası Yedekli değildir. Bu ilke, Depolama Hesaplarınızın ae Alanlar Arası Yedekli yapılandırma kullanmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Sanal Makine Ölçek Kümeleri Bölge Dayanıklı olmalıdır | Sanal Makine Ölçek Kümeleri, Bölgeye Hizalanmış, Alanlar Arası Yedekli veya hiçbiri olacak şekilde yapılandırılabilir. Bölgeleri dizisinde tam olarak bir girişi olan Sanal Makine Ölçek Kümeleri, Bölgeye Hizalanmış olarak kabul edilir. Buna karşılık, bölgeleri dizisinde 3 veya daha fazla giriş bulunan ve en az 3 kapasiteye sahip Sanal Makine Ölçek Kümeleri Alanlar Arası Yedekli olarak kabul edilir. Bu ilke, bu dayanıklılık yapılandırmalarını tanımlamaya ve zorlamaya yardımcı olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Sanal Makineler Bölgeye Hizalanmış olmalıdır | Sanal Makineler, Bölgeye Hizalı veya Değil olarak yapılandırılabilir. Bölgeleri dizisinde yalnızca bir girdi varsa, Bölge Hizalı olarak kabul edilirler. Bu ilke, bunların tek bir kullanılabilirlik alanı içinde çalışacak şekilde yapılandırılmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Sanal ağ geçitleri Alanlar Arası Yedekli olmalıdır | Sanal ağ geçitleri Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. SKU adı veya katmanı 'AZ' ile bitmeyen sanal ağ geçitleri Alanlar Arası Yedekli değildir. Bu ilke, bir bölge kesintisine dayanmak için gereken yedekliliğe sahip olmayan Sanal ağ geçitlerini tanımlar. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
Arama yap
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetlerde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Bilişsel Arama hizmetlerin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/rbac. Yerel kimlik doğrulamasını devre dışı bırakma parametresi hala önizleme aşamasındayken, portalın bazı özellikleri parametreyi desteklemeyen GA API'sini kullandığından, bu ilkenin reddetme etkisinin sınırlı Azure Bilişsel Arama portal işlevselliğine neden olabileceğini unutmayın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Bilişsel Arama hizmetlerinizde müşteri tarafından yönetilen bir anahtar kullanarak bekleyen şifrelemeyi etkinleştirmek, bekleyen verileri şifrelemek için kullanılan anahtar üzerinde ek denetim sağlar. Bu özellik genellikle bir anahtar kasası kullanarak veri şifreleme anahtarlarını yönetmek için özel uyumluluk gereksinimleri olan müşteriler için geçerlidir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| yerel kimlik doğrulamasını devre dışı bırakmak için Azure Bilişsel Arama hizmetlerini yapılandırma | Azure Bilişsel Arama hizmetlerinizin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/rbac. | Değiştir, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure Bilişsel Arama hizmetlerini yapılandırma | Azure Bilişsel Arama hizmetinizin genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetlerini özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Bilişsel Arama hizmetinize çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Özel uç noktalarla Azure Bilişsel Arama hizmetleri yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure Bilişsel Arama hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Güvenlik Merkezi
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Güvenlik aracısı Linux Arc makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Linux Arc makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısı Linux sanal makine ölçek kümelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Linux sanal makine ölçek kümelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısı Linux sanal makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmalarını ve güvenlik açıklarını izlemek için Linux sanal makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısı Windows Arc makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Windows Arc makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısı Windows sanal makine ölçek kümelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Windows sanal makine ölçek kümelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.1.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısı Windows sanal makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmalarını ve güvenlik açıklarını izlemek için Windows sanal makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.1.0-önizleme |
| [Önizleme]: ChangeTracking uzantısı Linux Arc makinenize yüklenmelidir | Azure Güvenlik Merkezi Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux Arc makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: ChangeTracking uzantısı Linux sanal makinenize yüklenmelidir | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: ChangeTracking uzantısı Linux sanal makine ölçek kümelerinize yüklenmelidir | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makine ölçek kümelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: ChangeTracking uzantısı Windows Arc makinenize yüklenmelidir | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows Arc makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: ChangeTracking uzantısı Windows sanal makinenize yüklenmelidir | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: ChangeTracking uzantısı Windows sanal makine ölçek kümelerinize yüklenmelidir | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makine ölçek kümelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Sanal makinede SQL aracısı için Azure Defender'ı yapılandırma | Windows makinelerini, Azure İzleyici Aracısı'nın yüklü olduğu SQL için Azure Defender aracısını otomatik olarak yükleyecek şekilde yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu ve Log Analytics çalışma alanı oluşturur. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Linux Arc makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux Arc makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Linux sanal makine ölçek kümeleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makine ölçek kümelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Linux sanal makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Windows Arc makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows Arc makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Windows sanal makine ölçek kümeleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makine ölçek kümelerini ChangeTracking Uzantısı'nı otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Windows sanal makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux Arc makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux Arc makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef Linux Arc makineleri desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makine ölçek kümelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makine ölçek kümelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Linux sanal makine ölçek kümelerini yapılandırın | Desteklenen Linux sanal makineleri ölçek kümelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak üzere Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 6.1.0-önizleme |
| [Önizleme]: Güvenli Önyüklemeyi otomatik olarak etkinleştirmek için desteklenen Linux sanal makinelerini yapılandırma | Güvenli Önyükleme'nin önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmasını otomatik olarak etkinleştirmek için desteklenen Linux sanal makinelerini yapılandırın. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdek ve çekirdek sürücülerinin çalışmasına izin verilir. | DeployIfNotExists, Devre Dışı | 5.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 7.0.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Linux sanal makinelerini yapılandırma | Desteklenen Linux sanal makinelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine izin vermek için Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 7.1.0-önizleme |
| [Önizleme]: VTPM'yi otomatik olarak etkinleştirmek için desteklenen sanal makineleri yapılandırma | Ölçülen Önyüklemeyi ve TPM gerektiren diğer işletim sistemi güvenlik özelliklerini kolaylaştırmak için vTPM'yi otomatik olarak etkinleştirmek için desteklenen sanal makineleri yapılandırın. Etkinleştirildikten sonra, önyükleme bütünlüğünü test etmek için vTPM kullanılabilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows Arc makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows Arc makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef Windows Arc makineleri desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 5.1.0-önizleme |
| [Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows sanal makine ölçek kümelerini yapılandırın | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows sanal makine ölçek kümelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef Windows sanal makine ölçek kümeleri desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 2.1.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Windows sanal makine ölçek kümelerini yapılandırın | Desteklenen Windows sanal makineleri ölçek kümelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine izin vermek için Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 4.1.0-önizleme |
| [Önizleme]: Güvenli Önyüklemeyi otomatik olarak etkinleştirmek için desteklenen Windows sanal makinelerini yapılandırma | Güvenli Önyükleme'nin önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmasını otomatik olarak etkinleştirmek için desteklenen Windows sanal makinelerini yapılandırın. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdek ve çekirdek sürücülerinin çalışmasına izin verilir. | DeployIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Windows sanal makinelerini yapılandırma | Desteklenen Windows sanal makinelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine izin vermek için Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 5.1.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısını yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan VM'leri yapılandırma | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine olanak sağlamak için konuk kanıtlama uzantısını otomatik olarak yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan sanal makineleri yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısını yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan VMSS'yi yapılandırma | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak üzere Konuk Kanıtlama uzantısını otomatik olarak yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan VMSS'yi yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 2.1.0-önizleme |
| [Önizleme]: Linux karma makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | Linux karma makinelerinde Uç Nokta için Microsoft Defender aracı dağıtır | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-önizleme |
| [Önizleme]: Linux sanal makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | geçerli Linux VM görüntülerine Uç Nokta için Microsoft Defender aracı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-önizleme |
| [Önizleme]: Windows Azure Arc makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | Windows Azure Arc makinelerinde Uç Nokta için Microsoft Defender dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-önizleme |
| [Önizleme]: Windows sanal makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | geçerli Windows VM görüntülerine Uç Nokta için Microsoft Defender dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısı desteklenen Linux sanal makinelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine olanak sağlamak için desteklenen Linux sanal makinelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme Güvenilen Başlatma ve Gizli Linux sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısı desteklenen Linux sanal makineleri ölçek kümelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen Linux sanal makineleri ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme Güvenilen Başlatma ve Gizli Linux sanal makine ölçek kümeleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 5.1.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısı desteklenen Windows sanal makinelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makinelere Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 4.0.0-önizleme |
| [Önizleme]: Konuk Kanıtlama uzantısı desteklenen Windows sanal makineleri ölçek kümelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makine ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makine ölçek kümeleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 3.1.0-önizleme |
| [Önizleme]: Linux sanal makineleri yalnızca imzalı ve güvenilen önyükleme bileşenlerini kullanmalıdır | Tüm işletim sistemi önyükleme bileşenleri (önyükleme yükleyicisi, çekirdek, çekirdek sürücüleri) güvenilir yayımcılar tarafından imzalanmalıdır. Bulut için Defender, bir veya daha fazla Linux makinenizde güvenilmeyen işletim sistemi önyükleme bileşenleri tanımladı. Makinelerinizi kötü amaçlı olabilecek bileşenlerden korumak için bunları izin verme listenize ekleyin veya tanımlanan bileşenleri kaldırın. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Linux sanal makineleri Güvenli Önyükleme kullanmalıdır | Kötü amaçlı yazılım tabanlı rootkit'lerin ve önyükleme setlerinin yüklenmesine karşı koruma sağlamak için desteklenen Linux sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Güvenli Önyükleme, yalnızca imzalı işletim sistemlerinin ve sürücülerin çalışmasına izin verileceğini güvence altına alır. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Makinelerin saldırı vektörlerini açığa çıkarabilecek bağlantı noktaları kapalı olmalıdır | Azure'ın Kullanım Koşulları, Azure hizmetlerinin herhangi bir Microsoft sunucusuna veya ağa zarar verebilecek, devre dışı bırakabilecek, aşırı yükleyebilecek veya zarar verebilecek şekillerde kullanılmasını yasaklar. Bu öneri tarafından tanımlanan kullanıma sunulan bağlantı noktalarının, sürekli güvenliğiniz için kapatılması gerekir. Tanımlanan her bağlantı noktası için öneri olası tehdidin bir açıklamasını da sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Desteklenen Windows sanal makinelerinde Güvenli Önyükleme etkinleştirilmelidir | Önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmak için desteklenen Windows sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdek ve çekirdek sürücülerinin çalışmasına izin verilir. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makineleri için geçerlidir. | Denetim, Devre Dışı | 4.0.0-önizleme |
| [Önizleme]: Sistem güncelleştirmeleri makinelerinize yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir) | Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik deliklerine yönelik kritik düzeltme eklerini içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla kötüye kullanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Tüm bekleyen düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Sanal makineler konuk kanıtlama durumu iyi durumda olmalıdır | Konuk kanıtlama, bir kanıtlama sunucusuna güvenilir bir günlük (TCGLog) gönderilerek gerçekleştirilir. Sunucu, önyükleme bileşenlerinin güvenilir olup olmadığını belirlemek için bu günlükleri kullanır. Bu değerlendirme, önyükleme zincirinin bir bootkit veya rootkit bulaşmasının sonucu olabilecek risklerini algılamaya yöneliktir. Bu değerlendirme yalnızca Konuk Kanıtlama uzantısının yüklü olduğu Güvenilen Başlatma özellikli sanal makineler için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: vTPM desteklenen sanal makinelerde etkinleştirilmelidir | Ölçülen Önyüklemeyi ve TPM gerektiren diğer işletim sistemi güvenlik özelliklerini kolaylaştırmak için desteklenen sanal makinelerde sanal TPM cihazını etkinleştirin. Etkinleştirildikten sonra, önyükleme bütünlüğünü test etmek için vTPM kullanılabilir. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makineler için geçerlidir. | Denetim, Devre Dışı | 2.0.0-önizleme |
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır | Azure Güvenlik Merkezi İnternet'e yönelik sanal makinelerin trafik desenlerini analiz eder ve olası saldırı yüzeyini azaltan Ağ Güvenlik Grubu kural önerileri sağlar | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir | Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure API Management'ta API uç noktalarının kimliği doğrulanmalıdır | Azure API Management'ta yayımlanan API uç noktaları, güvenlik riskini en aza indirmeye yardımcı olmak için kimlik doğrulamasını zorunlu kılmalıdır. Kimlik doğrulama mekanizmaları bazen yanlış uygulanır veya eksiktir. Bu, saldırganların uygulama açıklarından yararlanmasına ve verilere erişmesine olanak tanır. Bozuk Kullanıcı Kimlik Doğrulaması için OWASP API Tehdidi hakkında daha fazla bilgiyi burada bulabilirsiniz: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Kullanılmayan API uç noktaları devre dışı bırakılmalı ve Azure API Management hizmetinden kaldırılmalıdır | En iyi güvenlik uygulaması olarak, 30 gündür trafik almamış API uç noktaları kullanılmamış olarak kabul edilir ve Azure API Management hizmetinden kaldırılmalıdır. Kullanılmayan API uç noktalarının tutulması kuruluşunuz için güvenlik riski doğurabilir. Bunlar, Azure API Management hizmetinden kullanım dışı bırakılması gereken ancak yanlışlıkla etkin bırakılmış api'ler olabilir. Bu tür API'ler genellikle en güncel güvenlik kapsamını almaz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure DDoS Koruması etkinleştirilmelidir | DDoS koruması, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.1 |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Açık kaynak ilişkisel veritabanları için Azure Defender etkinleştirilmelidir | Açık kaynak ilişkisel veritabanları için Azure Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Açık kaynak ilişkisel veritabanları için Azure Defender'ın özellikleri hakkında daha fazla bilgi için adresine bakın https://aka.ms/AzDforOpenSourceDBsDocu. Önemli: Bu planın etkinleştirilmesi, açık kaynak ilişkisel veritabanlarınızı korumayla ilgili ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında fiyatlandırma hakkında bilgi edinin: https://aka.ms/pricing-security-center | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız PostgreSQL esnek sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan PostgreSQL esnek sunucularını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Kubernetes Services üzerinde Azure Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
| Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Cloud Services (genişletilmiş destek) rol örnekleri güvenli bir şekilde yapılandırılmalıdır | Bulut Hizmeti (genişletilmiş destek) rol örneklerinizi herhangi bir işletim sistemi güvenlik açığına maruz kalmadıklarından emin olarak saldırılara karşı koruyun. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Cloud Services (genişletilmiş destek) rol örneklerinin yüklü bir uç nokta koruma çözümü olmalıdır | Bulut Hizmetleri (genişletilmiş destek) rol örneklerinizi tehditlere ve güvenlik açıklarına karşı korumak için bunlara bir uç nokta koruma çözümü yüklendiğinden emin olun. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Cloud Services (genişletilmiş destek) rol örneklerinde sistem güncelleştirmeleri yüklü olmalıdır | En son güvenlik ve kritik güncelleştirmelerin yüklü olduğundan emin olarak Cloud Services (genişletilmiş destek) rol örneklerinizin güvenliğini sağlayın. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Gelişmiş Tehdit Koruması'nın MySQL için Azure veritabanı esnek sunucularında etkinleştirilecek şekilde yapılandırılması | MySQL için Azure veritabanı esnek sunucularınızda Gelişmiş Tehdit Koruması'nı etkinleştirerek veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılayın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Gelişmiş Tehdit Koruması'nı PostgreSQL için Azure veritabanı esnek sunucularında etkinleştirilecek şekilde yapılandırma | PostgreSQL için Azure veritabanı esnek sunucularınızda Gelişmiş Tehdit Koruması'nı etkinleştirerek veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılayın. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Arc özellikli SQL Server'ları Azure İzleyici Aracısı'nın otomatik olarak yüklenmesi için yapılandırma | Windows Arc özellikli SQL Sunucularınızda Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.3.0 |
| Arc özellikli SQL Server'ları SQL için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | Windows Arc özellikli SQL Server'ları SQL için Microsoft Defender aracısını otomatik olarak yükleyecek şekilde yapılandırın. SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Arc özellikli SQL Server'ları, Log Analytics çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu, Veri Toplama Kuralı ve Log Analytics çalışma alanı oluşturun. | DeployIfNotExists, Devre Dışı | 1.3.0 |
| Kullanıcı tanımlı bir LA çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yüklemek üzere Arc özellikli SQL Server'ları yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Kullanıcı tanımlı Log Analytics çalışma alanıyla aynı bölgede bir kaynak grubu ve Veri Toplama Kuralı oluşturun. | DeployIfNotExists, Devre Dışı | 1.4.0 |
| Sql DCR için Microsoft Defender'a Veri Toplama Kuralı İlişkilendirmesi ile Arc özellikli SQL Server'ları yapılandırma | Arc özellikli SQL Sunucuları ile SQL DCR için Microsoft Defender arasındaki ilişkiyi yapılandırın. Bu ilişkilendirme silindiğinde arc özellikli bu SQL Sunucuları için güvenlik açıklarının algılanması bozulacaktır. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Sql kullanıcı tanımlı DCR için Microsoft Defender'a Veri Toplama Kuralı İlişkilendirmesi ile Arc özellikli SQL Server'ları yapılandırma | Arc özellikli SQL Sunucuları ile SQL için Microsoft Defender kullanıcı tanımlı DCR arasındaki ilişkiyi yapılandırın. Bu ilişkilendirme silindiğinde arc özellikli bu SQL Sunucuları için güvenlik açıklarının algılanması bozulacaktır. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Uygulama Hizmeti için Azure Defender'ı etkinleştirilecek şekilde yapılandırma | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Azure SQL veritabanını etkinleştirmek için Azure Defender'ı yapılandırma | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Açık kaynak ilişkisel veritabanlarını etkinleştirmek için Azure Defender'ı yapılandırma | Açık kaynak ilişkisel veritabanları için Azure Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Açık kaynak ilişkisel veritabanları için Azure Defender'ın özellikleri hakkında daha fazla bilgi için adresine bakın https://aka.ms/AzDforOpenSourceDBsDocu. Önemli: Bu planın etkinleştirilmesi, açık kaynak ilişkisel veritabanlarınızı korumayla ilgili ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında fiyatlandırma hakkında bilgi edinin: https://aka.ms/pricing-security-center | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Resource Manager için Azure Defender'ı etkinleştirilecek şekilde yapılandırma | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Sunucular için Azure Defender'ı etkinleştirilecek şekilde yapılandırma | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Makinelerde SQL sunucularının etkinleştirilmesi için Azure Defender'ı yapılandırma | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| etkinleştirilecek Depolama için temel Microsoft Defender'ı yapılandırma (yalnızca Etkinlik İzleme) | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılayan Azure'a özel bir güvenlik zekası katmanıdır. Bu ilke, Depolama özellikleri için temel Defender'ı etkinleştirir (Etkinlik İzleme). Karşıya Yüklenen Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama da dahil olmak üzere tam korumayı etkinleştirmek için tam etkinleştirme ilkesini kullanın: aka.ms/DefenderFor Depolama Policy. Depolama özellikleri ve avantajları için Defender hakkında daha fazla bilgi edinmek için aka.ms/DefenderFor Depolama adresini ziyaret edin. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Makineleri güvenlik açığı değerlendirme sağlayıcısı alacak şekilde yapılandırma | Azure Defender, makineleriniz için ek ücret ödemeden güvenlik açığı taraması içerir. Qualys lisansına veya Qualys hesabına bile ihtiyacınız yoktur. Her şey Güvenlik Merkezi'nin içinde sorunsuz bir şekilde işlenir. Bu ilkeyi etkinleştirdiğinizde Azure Defender, Qualys güvenlik açığı değerlendirme sağlayıcısını henüz yüklü olmayan tüm desteklenen makinelere otomatik olarak dağıtır. | DeployIfNotExists, Devre Dışı | 4.0.0 |
| Microsoft Defender CSPM planını yapılandırma | Defender Bulut Güvenliği Duruş Yönetimi (CSPM), riski belirlemeye, önceliklendirmeye ve azaltmaya yardımcı olmak için gelişmiş duruş özellikleri ve yeni bir akıllı bulut güvenlik grafiği sağlar. Defender CSPM, Bulut için Defender'de varsayılan olarak açık olan ücretsiz temel güvenlik duruşu özelliklerine ek olarak kullanılabilir. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Microsoft Defender CSPM'yi etkinleştirilecek şekilde yapılandırma | Defender Bulut Güvenliği Duruş Yönetimi (CSPM), riski belirlemeye, önceliklendirmeye ve azaltmaya yardımcı olmak için gelişmiş duruş özellikleri ve yeni bir akıllı bulut güvenlik grafiği sağlar. Defender CSPM, Bulut için Defender'de varsayılan olarak açık olan ücretsiz temel güvenlik duruşu özelliklerine ek olarak kullanılabilir. | DeployIfNotExists, Devre Dışı | 1.0.2 |
| Azure Cosmos DB için Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma | Azure Cosmos DB için Microsoft Defender, Azure Cosmos DB hesaplarınızdaki veritabanlarından yararlanma girişimlerini algılayan, Azure'a özel bir güvenlik katmanıdır. Azure Cosmos DB için Defender, olası SQL eklemelerini, Microsoft Tehdit Bilgileri'ni temel alan bilinen kötü aktörleri, şüpheli erişim düzenlerini ve güvenliği aşılmış kimlikler veya kötü niyetli insider'lar aracılığıyla veritabanınızın olası kötüye kullanımlarını algılar. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender planını yapılandırma | Kapsayıcılar için Defender planına sürekli yeni özellikler ekleniyor ve bu da kullanıcının açıkça etkinleştirilmesini gerektirebilir. Tüm yeni özelliklerin etkinleştirildiğinden emin olmak için bu ilkeyi kullanın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Bulut için Microsoft Defender ile Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırma (WDATP_EXCLUDE_LINUX...) | Linux sunucuları için MDE'nin otomatik olarak sağlanmasını etkinleştirmek için Bulut için Microsoft Defender içinde (WDATP_EXCLUDE_LINUX_...olarak da bilinir) Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırılır. Bu ayarın uygulanabilmesi için WDATP ayarının açık olması gerekir. Daha fazla bilgi için bkz. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Bulut için Microsoft Defender (WDATP_UNIFIED_SOLUTION) ile Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırma | Windows Server 2012R2 ve 2016 için MDE Birleşik Aracısı'nın otomatik olarak sağlanmasını etkinleştirmek için Bulut için Microsoft Defender (WDATP_UNIFIED_SOLUTION olarak da bilinir) içinde Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırılır. Bu ayarın uygulanabilmesi için WDATP ayarının açık olması gerekir. Daha fazla bilgi için bkz. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Bulut için Microsoft Defender (WDATP) ile Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırma | MMA aracılığıyla MDE'ye eklenen Windows alt düzey makineler için Bulut için Microsoft Defender (WDATP olarak da bilinir) içinde Uç Nokta için Microsoft Defender tümleştirme ayarlarını ve Windows Server 2019, Windows Sanal Masaüstü ve üzerinde MDE'nin otomatik olarak sağlanmasını yapılandırır. Diğer ayarların (WDATP_UNIFIED vb.) çalışması için açık olmalıdır. Daha fazla bilgi için bkz. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Key Vault için Microsoft Defender planını yapılandırma | Key Vault için Microsoft Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Sunucular için Microsoft Defender planını yapılandırma | Sunucular için Defender'a sürekli yeni özellikler eklenmektedir ve bu da kullanıcının açıkça etkinleştirilmesini gerektirebilir. Tüm yeni özelliklerin etkinleştirildiğinden emin olmak için bu ilkeyi kullanın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| SQL için Microsoft Defender'ı Synapse çalışma alanlarında etkinleştirilecek şekilde yapılandırma | SQL veritabanlarına erişmeye veya bu veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Azure Synapse çalışma alanlarınızda SQL için Microsoft Defender'ı etkinleştirin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender'ı (Klasik) etkinleştirilecek şekilde yapılandırma | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | DeployIfNotExists, Devre Dışı | 1.0.2 |
| Depolama için Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılayan Azure'a özel bir güvenlik zekası katmanıdır. Bu ilke, Depolama için tüm Defender özelliklerini etkinleştirir; Etkinlik İzleme, Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama. Depolama özellikleri ve avantajları için Defender hakkında daha fazla bilgi edinmek için aka.ms/DefenderFor Depolama adresini ziyaret edin. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| SQL Sanal Makineler'yi Azure İzleyici Aracısı'nın otomatik olarak yüklenmesi için yapılandırma | Windows SQL Sanal Makineler'nizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.3.0 |
| SQL için Microsoft Defender'ı otomatik olarak yüklemek için SQL Sanal Makineler yapılandırma | Windows SQL Sanal Makineler'yi SQL için Microsoft Defender uzantısını otomatik olarak yükleyecek şekilde yapılandırın. SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. | DeployIfNotExists, Devre Dışı | 1.3.0 |
| SQL Sanal Makineler'yi, Log Analytics çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu, Veri Toplama Kuralı ve Log Analytics çalışma alanı oluşturun. | DeployIfNotExists, Devre Dışı | 1.4.0 |
| SQL Sanal Makineler'yi kullanıcı tanımlı la çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Kullanıcı tanımlı Log Analytics çalışma alanıyla aynı bölgede bir kaynak grubu ve Veri Toplama Kuralı oluşturun. | DeployIfNotExists, Devre Dışı | 1.4.0 |
| SQL için Microsoft Defender Log Analytics çalışma alanını yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu ve Log Analytics çalışma alanı oluşturun. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Yerleşik kullanıcı tarafından atanan yönetilen kimlik oluşturma ve atama | SQL sanal makinelerine uygun ölçekte yerleşik bir kullanıcı tarafından atanan yönetilen kimlik oluşturun ve atayın. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Dağıt - Azure Güvenlik Merkezi uyarıları için gizleme kurallarını yapılandırma | Yönetim grubunuz veya aboneliğinizde gizleme kuralları dağıtarak uyarı yorgunluğunu azaltmak için Azure Güvenlik Merkezi uyarılarını gizleyin. | deployIfNotExists | 1.0.0 |
| Bulut için Microsoft Defender veriler için olay hub'ına dışarı aktarmayı güvenilir hizmet olarak dağıtma | Bulut için Microsoft Defender verilerinin güvenilir bir hizmeti olarak Olay Hub'ına dışarı aktarmayı etkinleştirin. Bu ilke, koşullarınız ve atanan kapsamda hedef Olay Hub'ı ile güvenilir bir hizmet yapılandırması olarak Olay Hub'ına dışarı aktarma dağıtır. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Bulut için Microsoft Defender verileri için Olay Hub'ına dışarı aktarma dağıtma | Bulut için Microsoft Defender verilerinin Event Hub'ına dışarı aktarmayı etkinleştirin. Bu ilke, koşullarınız ve atanan kapsamda hedef Olay Hub'ı ile Olay Hub'ı yapılandırmasına bir dışarı aktarma dağıtır. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 4.2.0 |
| Bulut için Microsoft Defender verileri için Log Analytics çalışma alanına dışarı aktarma dağıtma | Bulut için Microsoft Defender verilerinin Log Analytics çalışma alanına dışarı aktarmayı etkinleştirin. Bu ilke, koşullarınız ve atanan kapsamdaki hedef çalışma alanınızla Log Analytics çalışma alanı yapılandırmasına dışarı aktarma dağıtır. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 4.1.0 |
| Bulut için Microsoft Defender uyarıları için İş Akışı Otomasyonu dağıtma | Bulut için Microsoft Defender uyarılarının otomasyonunun etkinleştirilmesi. Bu ilke, koşullarınızla birlikte bir iş akışı otomasyonu dağıtır ve atanan kapsamda tetikleyiciler oluşturur. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 5.0.1 |
| Bulut için Microsoft Defender önerileri için İş Akışı Otomasyonu dağıtma | Bulut için Microsoft Defender önerilerinin otomasyonunun etkinleştirilmesi. Bu ilke, koşullarınızla birlikte bir iş akışı otomasyonu dağıtır ve atanan kapsamda tetikleyiciler oluşturur. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 5.0.1 |
| Bulut için Microsoft Defender mevzuat uyumluluğu için İş Akışı Otomasyonu dağıtma | Bulut için Microsoft Defender mevzuat uyumluluğunun otomasyonuna olanak tanıyın. Bu ilke, koşullarınızla birlikte bir iş akışı otomasyonu dağıtır ve atanan kapsamda tetikleyiciler oluşturur. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 5.0.1 |
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Aboneliğinizde Bulut için Microsoft Defender etkinleştirme | Bulut için Microsoft Defender tarafından izlenilmeyen mevcut abonelikleri tanımlar ve Bulut için Defender ücretsiz özellikleriyle korur. Zaten izlenen abonelikler uyumlu olarak kabul edilir. Yeni oluşturulan abonelikleri kaydetmek için uyumluluk sekmesini açın, uyumlu olmayan ilgili atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 1.0.1 |
| Özel çalışma alanı olan aboneliklerinizde Güvenlik Merkezi'nin Log Analytics aracısını otomatik olarak sağlamasını etkinleştirin. | Güvenlik Merkezi'nin özel bir çalışma alanı kullanarak güvenlik verilerini izlemek ve toplamak için aboneliklerinizde Log Analytics aracısını otomatik olarak sağlamasına izin verin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Varsayılan çalışma alanı olan aboneliklerinizde Güvenlik Merkezi'nin Log Analytics aracısını otomatik olarak sağlamasını etkinleştirin. | Güvenlik Merkezi'nin ASC varsayılan çalışma alanını kullanarak güvenlik verilerini izlemek ve toplamak için aboneliklerinizde Log Analytics aracısını otomatik olarak sağlamasına izin verin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Uç nokta koruması makinelerinize yüklenmelidir | Makinelerinizi tehditlere ve güvenlik açıklarına karşı korumak için desteklenen bir uç nokta koruma çözümü yükleyin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi | Denetim, Devre Dışı | 1.0.2 |
| Log Analytics aracısı Cloud Services (genişletilmiş destek) rol örneklerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Cloud Services (genişletilmiş destek) rol örneklerinizden veri toplar. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Makinelerin gizli dizi bulguları çözümlenmelidir | Sanal makinelerinizdeki gizli dizi tarama çözümlerinden gizli dizi bulguları içerip içermediklerini algılamak için sanal makineleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Microsoft Defender CSPM etkinleştirilmelidir | Defender Bulut Güvenliği Duruş Yönetimi (CSPM), riski belirlemeye, önceliklendirmeye ve azaltmaya yardımcı olmak için gelişmiş duruş özellikleri ve yeni bir akıllı bulut güvenlik grafiği sağlar. Defender CSPM, Bulut için Defender'de varsayılan olarak açık olan ücretsiz temel güvenlik duruşu özelliklerine ek olarak kullanılabilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| API'ler için Microsoft Defender etkinleştirilmelidir | API'ler için Microsoft Defender, yaygın API tabanlı saldırıları ve güvenlik yanlış yapılandırmalarını izlemek için yeni bulma, koruma, algılama ve yanıt kapsamı getirir. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure Cosmos DB için Microsoft Defender etkinleştirilmelidir | Azure Cosmos DB için Microsoft Defender, Azure Cosmos DB hesaplarınızdaki veritabanlarından yararlanma girişimlerini algılayan, Azure'a özel bir güvenlik katmanıdır. Azure Cosmos DB için Defender, olası SQL eklemelerini, Microsoft Tehdit Bilgileri'ni temel alan bilinen kötü aktörleri, şüpheli erişim düzenlerini ve güvenliği aşılmış kimlikler veya kötü niyetli insider'lar aracılığıyla veritabanınızın olası kötüye kullanımlarını algılar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Korumasız Synapse çalışma alanları için SQL için Microsoft Defender etkinleştirilmelidir | Synapse çalışma alanlarınızı korumak için SQL için Defender'ı etkinleştirin. SQL için Defender, veritabanlarına erişme veya veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Synapse SQL'inizi izler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL için Microsoft Defender durumu Arc özellikli SQL Sunucuları için korunmalıdır | SQL için Microsoft Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak, hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. Etkinleştirildikten sonra koruma durumu kaynağın etkin olarak izlendiğini gösterir. Defender etkinleştirildiğinde bile etkin koruma sağlamak için aracı, makine, çalışma alanı ve SQL sunucusunda birden çok yapılandırma ayarı doğrulanmalıdır. | Denetim, Devre Dışı | 1.0.1 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'sını içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Güvenlik Merkezi standart fiyatlandırma katmanı seçilmelidir | Standart fiyatlandırma katmanı, ağlar ve sanal makineler için tehdit algılamaya olanak sağlayarak Azure Güvenlik Merkezi tehdit bilgileri, anomali algılama ve davranış analizi sağlar | Denetim, Devre Dışı | 1.1.0 |
| Alternatif bir güvenlik açığı değerlendirme çözümüne geçiş için abonelikleri ayarlama | Bulut için Microsoft Defender, makineleriniz için ek ücret ödemeden güvenlik açığı taraması sunar. Bu ilkenin etkinleştirilmesi, Bulut için Defender yerleşik Microsoft Defender güvenlik açığı yönetimi çözümündeki bulguları desteklenen tüm makinelere otomatik olarak yaymasına neden olur. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Makine planındaki SQL sunucuları için SQL server hedefli otomatik sağlama etkinleştirilmelidir | SQL VM'lerinizin ve Arc özellikli SQL Sunucularınızın korunduğundan emin olmak için, SQL hedefli Azure İzleme Aracısı'nın otomatik olarak dağıtılacak şekilde yapılandırıldığından emin olun. Bu bileşen kullanım dışı bırakıldığı için Microsoft Monitoring Agent'ın otomatik sağlamasını daha önce yapılandırdıysanız da bu gereklidir. Daha fazla bilgi edinin: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir | SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir | Windows ve Linux sanal makine ölçek kümelerinizin güvende olduğundan emin olmak için yüklenmesi gereken eksik sistem güvenlik güncelleştirmelerinin ve kritik güncelleştirmelerin olup olmadığını denetleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2 kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama sunucu tarafı şifrelemesi: https://aka.ms/disksse, Farklı disk şifreleme teklifleri:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Devre Dışı | 2.0.3 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Kapsayıcı güvenliği yapılandırmalarındaki güvenlik açıkları düzeltilmelidir | Docker'ın yüklü olduğu makinelerde güvenlik yapılandırmasındaki güvenlik açıklarını denetleyin ve Azure Güvenlik Merkezi öneriler olarak görüntüleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Sanal makine ölçek kümelerinizdeki işletim sistemi güvenlik açıklarını denetleyarak saldırılara karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Güvenlik Merkezi - Ayrıntılı Fiyatlandırma
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sunucular için Azure Defender'ı tüm kaynaklar için devre dışı bırakılacak şekilde yapılandırma (kaynak düzeyi) | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. Bu ilke, seçilen kapsamdaki tüm kaynaklar (VM'ler, VMSS'ler ve ARC Makineleri) için Sunucular için Defender planını devre dışı bırakır (abonelik veya kaynak grubu). | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender'ı seçili etiketle kaynaklar (kaynak düzeyi) için devre dışı bırakılacak şekilde yapılandırma | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. Bu ilke, seçili etiket adı ve etiket değerlerine sahip tüm kaynaklar (VM'ler, VMSS'ler ve ARC Makineleri) için Sunucular için Defender planını devre dışı bırakır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender'ı seçili etiketle tüm kaynaklar (kaynak düzeyi) için etkinleştirilecek ('P1' alt planı) yapılandır | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. Bu ilke, seçili etiket adına ve etiket değerlerine sahip tüm kaynaklar (VM'ler ve ARC Makineleri) için Sunucular için Defender planını ('P1' alt planıyla) etkinleştirir. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender'ı tüm kaynaklar (kaynak düzeyi) için etkinleştirilecek şekilde yapılandırma ('P1' alt planıyla) | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. Bu ilke, seçilen kapsamdaki tüm kaynaklar (VM'ler ve ARC Makineleri) için Sunucular için Defender planını ('P1' alt planıyla) etkinleştirir (abonelik veya kaynak grubu). | DeployIfNotExists, Devre Dışı | 1.0.0 |
Service Bus
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| RootManageSharedAccessKey dışındaki tüm yetkilendirme kuralları Service Bus ad alanından kaldırılmalıdır | Service Bus istemcileri, bir ad alanı içindeki tüm kuyruklara ve konulara erişim sağlayan bir ad alanı düzeyi erişim ilkesi kullanmamalıdır. En az ayrıcalıklı güvenlik modeliyle uyumlu hale getirmek için, yalnızca belirli bir varlığa erişim sağlamak üzere kuyruklar ve konular için varlık düzeyinde erişim ilkeleri oluşturmanız gerekir | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Service Bus ad alanlarının yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Service Bus ad alanlarının kimlik doğrulaması için yalnızca Microsoft Entra ID kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/disablelocalauth-sb. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Azure Service Bus ad alanlarını yapılandırma | Azure ServiceBus ad alanlarınız yalnızca kimlik doğrulaması için Microsoft Entra ID kimlikleri gerektirecek şekilde yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/disablelocalauth-sb. | Değiştir, Devre Dışı | 1.0.1 |
| Service Bus ad alanlarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Service Bus ad alanlarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Service Bus ad alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Service Bus Ad Alanları genel ağ erişimini devre dışı bırakmalıdır | Azure Service Bus'ta genel ağ erişimi devre dışı bırakılmalıdır. Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın etkilenmesini sınırlayabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Service Bus ad alanlarının çift şifrelemesi etkinleştirilmelidir | Çift şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Service Bus Premium ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Service Bus, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Service Bus'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanızı, döndürmenizi, devre dışı bırakmanızı ve iptal etmenizi sağlar. Service Bus'ın yalnızca premium ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. | Denetim, Devre Dışı | 1.0.0 |
Service Fabric
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
SignalR
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure SignalR Hizmeti genel ağ erişimini devre dışı bırakmalıdır | Azure SignalR Hizmeti kaynağının güvenliğini artırmak için kaynağın genel İnternet'e açık olmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/asrs/networkaclsgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure SignalR Hizmeti tanılama günlüklerini etkinleştirmelidir | Tanılama günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Azure SignalR Hizmeti yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti Özel Bağlantı etkin bir SKU kullanmalıdır | Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanıza olanak tanır ve bu da kaynaklarınızı genel veri sızıntısı risklerine karşı korur. İlke, Azure SignalR Hizmeti için etkinleştirilen Özel Bağlantı SKU'lar ile sınırlandırır. Özel bağlantı hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| yerel kimlik doğrulamasını devre dışı bırakmak için Azure SignalR Hizmeti yapılandırma | yerel kimlik doğrulama yöntemlerini devre dışı bırakın; böylece Azure SignalR Hizmeti yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirir. | Değiştir, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti için özel uç noktaları yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure SignalR Hizmeti kaynaklara eşleyerek veri sızıntısı risklerini azaltabilirsiniz. https://aka.ms/asrs/privatelink adresinden daha fazla bilgi edinin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıt - özel uç noktalar için özel DNS bölgelerini yapılandırma Azure SignalR Hizmeti | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure SignalR Hizmeti kaynağına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure SignalR Hizmeti kaynaklarını değiştirme | Azure SignalR Hizmeti kaynağının güvenliğini artırmak için kaynağın genel İnternet'e açık olmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/asrs/networkaclsgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Değiştir, Devre Dışı | 1.1.0 |
Site Recovery
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Kurtarma Hizmetleri kasalarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Kurtarma Hizmetleri Kasalarına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/privatednszone. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kurtarma Hizmetleri kasalarında özel uç noktaları yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Kurtarma Hizmetleri kasalarınızın site kurtarma kaynaklarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantıları kullanmak için yönetilen hizmet kimliğinin Kurtarma Hizmetleri Kasalarına atanması gerekir. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kurtarma Hizmetleri kasaları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Kurtarma Hizmetleri kasalarına eşleyerek veri sızıntısı riskleri azalır. Azure Site Recovery için özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/HybridScenarios-PrivateLink ve https://aka.ms/AzureToAzure-PrivateLink. | Denetim, Devre Dışı | 1.0.0-önizleme |
SQL
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| MySQL sunucuları için bir Microsoft Entra yöneticisi sağlanmalıdır | Microsoft Entra kimlik doğrulamasını etkinleştirmek için MySQL sunucunuz için Bir Microsoft Entra yöneticisinin sağlanmasını denetleyin. Microsoft Entra kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.1.1 |
| PostgreSQL sunucuları için bir Microsoft Entra yöneticisi sağlanmalıdır | Microsoft Entra kimlik doğrulamasını etkinleştirmek için PostgreSQL sunucunuz için Bir Microsoft Entra yöneticisinin sağlanmasını denetleyin. Microsoft Entra kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.1 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure MySQL esnek sunucusunda Yalnızca Microsoft Entra Kimlik Doğrulaması etkinleştirilmelidir | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak ve yalnızca Microsoft Entra Authentication'a izin vermek, Azure MySQL esnek sunucusuna yalnızca Microsoft Entra kimlikleri tarafından erişilmesini sağlayarak güvenliği artırır. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır | TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure SQL Veritabanı yalnızca TLS 1.2 veya üzerini kullanan istemcilerden erişilmesini sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| Azure SQL Veritabanı Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Azure SQL mantıksal sunucularının Microsoft Entra-only kimlik doğrulamasını kullanmasını zorunlu kılar. Bu ilke, sunucuların yerel kimlik doğrulaması etkin olarak oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı oluşturma sırasında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Azure SQL mantıksal sunucularının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.2.0 |
| Azure SQL Yönetilen Örneği Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Microsoft Entra-only kimlik doğrulamasını kullanmak için Azure SQL Yönetilen Örneği gerektir. Bu ilke, Yerel kimlik doğrulaması etkinken Azure SQL Yönetilen örneklerinin oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır | Azure SQL Yönetilen Örneği'lerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. Genel ağ erişimi hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/mi-public-endpoint. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SQL Yönetilen Örneği oluşturma sırasında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Microsoft Entra-only kimlik doğrulaması ile Azure SQL Yönetilen Örneği oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.2.0 |
| Gelişmiş Tehdit Koruması'nın MariaDB için Azure veritabanı sunucularında etkinleştirilecek şekilde yapılandırılması | Veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Temel katman olmayan MariaDB için Azure veritabanı sunucularınızda Gelişmiş Tehdit Koruması'nı etkinleştirin. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Gelişmiş Tehdit Koruması'nın MySQL için Azure veritabanı sunucularında etkinleştirilecek şekilde yapılandırılması | Veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için MySQL için Temel katman olmayan Azure veritabanı sunucularınızda Gelişmiş Tehdit Koruması'nı etkinleştirin. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Gelişmiş Tehdit Koruması'nı PostgreSQL için Azure veritabanı sunucularında etkinleştirilecek şekilde yapılandırma | Veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Temel katman olmayan PostgreSQL için Azure veritabanı sunucularınızda Gelişmiş Tehdit Koruması'nı etkinleştirin. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Azure Defender'ı SQL yönetilen örneklerinde etkinleştirilecek şekilde yapılandırma | Veritabanlarına erişme veya veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Azure SQL Yönetilen Örneği'lerinizde Azure Defender'ı etkinleştirin. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Azure Defender'ı SQL sunucularında etkinleştirilecek şekilde yapılandırma | Veritabanlarına erişmeye veya veritabanlarını kötüye kullanma girişimlerine yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Azure SQL Sunucularınızda Azure Defender'ı etkinleştirin. | DeployIfNotExists | 2.1.0 |
| Azure SQL veritabanı sunucuları tanılama ayarlarını Log Analytics çalışma alanında yapılandırma | Azure SQL Veritabanı sunucusu için denetim günlüklerini etkinleştirir ve bu denetimin eksik olduğu herhangi bir SQL Server oluşturulduğunda veya güncelleştirildiğinde günlükleri Log Analytics çalışma alanına akışla aktarır | DeployIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Server'ı genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Server'a yalnızca özel bir uç noktadan erişilebileceği şekilde genel bağlantıyı kapatır. Bu yapılandırma, Azure SQL Server altındaki tüm veritabanları için genel ağ erişimini devre dışı bırakır. | Değiştir, Devre Dışı | 1.0.0 |
| Azure SQL Server'ı özel uç nokta bağlantılarını etkinleştirecek şekilde yapılandırma | Özel uç nokta bağlantısı, sanal ağın içindeki özel IP adresi aracılığıyla Azure SQL Veritabanı özel bağlantı sağlar. Bu yapılandırma, güvenlik duruşunuzu geliştirir ve Azure ağ araçlarını ve senaryolarını destekler. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| SQL sunucularını denetimin etkin olması için yapılandırma | SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için SQL sunucularında denetim etkinleştirilmelidir. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | DeployIfNotExists, Devre Dışı | 3.0.0 |
| SQL sunucularını Log Analytics çalışma alanında denetimi etkinleştirecek şekilde yapılandırma | SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için SQL sunucularında denetim etkinleştirilmelidir. Denetim etkinleştirilmemişse, bu ilke denetim olaylarını belirtilen Log Analytics çalışma alanına akacak şekilde yapılandıracaktır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| postgreSQL veritabanı sunucuları için Bağlan azaltma etkinleştirilmelidir | Bu ilke, Bağlan azaltma etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. Bu ayar, çok fazla geçersiz parola oturum açma hatası için IP başına geçici bağlantı azaltmayı etkinleştirir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Dağıtma - Log Analytics çalışma alanına SQL Veritabanı tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik SQL Veritabanı oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına aktarmak için SQL Veritabanı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 4.0.0 |
| SQL sunucularında Gelişmiş Veri Güvenliği dağıtma | Bu ilke, SQL Sunucularında Gelişmiş Veri Güvenliği'ni etkinleştirir. Bu, Tehdit Algılama ve Güvenlik Açığı Değerlendirmesi'nin açılmasını içerir. Tarama sonuçlarını depolamak için SQL sunucusuyla aynı bölgede ve kaynak grubunda otomatik olarak bir depolama hesabı oluşturur ve bir 'sqlva' ön eki kullanır. | DeployIfNotExists | 1.3.0 |
| Azure SQL Veritabanı için Tanılama Ayarlar Olay Hub'ına dağıtma | Bu tanılama ayarlarının oluşturulduğu veya güncelleştirildiği Azure SQL Veritabanı bölgesel bir Olay Hub'ına akış yapmak üzere Azure SQL Veritabanı tanılama ayarlarını dağıtır. | DeployIfNotExists | 1.2.0 |
| SQL DB saydam veri şifrelemesi dağıtma | SQL veritabanlarında saydam veri şifrelemesini etkinleştirir | DeployIfNotExists, Devre Dışı | 2.2.0 |
| PostgreSQL veritabanı sunucuları için bağlantı kesilmeleri günlüğe kaydedilmelidir. | Bu ilke, ortamınızdaki postgreSQL veritabanlarını log_disconnections etkinleştirilmeden denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir | MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir | PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir | MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirerek verilerin güvenli olduğundan daha yüksek düzeyde emin olun. Altyapı şifrelemesi etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir | verilerin güvenli olduğundan daha yüksek düzeyde güvenceye sahip olmak için PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirin. Altyapı şifreleme etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| PostgreSQL veritabanı sunucuları için günlük denetim noktaları etkinleştirilmelidir | Bu ilke, log_checkpoints ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL veritabanı sunucuları için günlük bağlantıları etkinleştirilmelidir | Bu ilke, log_connections ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL veritabanı sunucuları için günlük süresi etkinleştirilmelidir | Bu ilke, log_duration ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı için uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmelidir | Bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş tüm Azure SQL Veritabanı denetler. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| MariaDB sunucusu bir sanal ağ hizmet uç noktası kullanmalıdır | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan MariaDB için Azure Veritabanı'a giden trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. Bu ilke, MariaDB için Azure Veritabanı sanal ağ hizmet uç noktasının kullanılıp kullanılmadığını denetlemek için bir yol sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucusu bir sanal ağ hizmet uç noktası kullanmalıdır | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan MySQL için Azure Veritabanı trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. Bu ilke, MySQL için Azure Veritabanı sanal ağ hizmet uç noktasının kullanılıp kullanılmadığını denetlemek için bir yol sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | MySQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| PostgreSQL sunucusu bir sanal ağ hizmet uç noktası kullanmalıdır | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan PostgreSQL için Azure Veritabanı'a giden trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. Bu ilke, PostgreSQL için Azure Veritabanı sanal ağ hizmet uç noktasının kullanılıp kullanılmadığını denetlemek için bir yol sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| MySQL esnek sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğini devre dışı bırakmak, MySQL için Azure Veritabanı esnek sunucularınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| PostgreSQL esnek sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğini devre dışı bırakmak, PostgreSQL için Azure Veritabanı esnek sunucularınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 3.0.1 |
| PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| SQL Denetim ayarları, kritik etkinlikleri yakalamak için yapılandırılmış Eylem Gruplarına sahip olmalıdır | AuditActionsAndGroups özelliği, kapsamlı bir denetim günlüğü sağlamak için en az SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP içermelidir | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL Veritabanı GRS yedekleme yedekliliğini kullanmaktan kaçınmalı | Veri yerleşimi kuralları verilerin belirli bir bölgede kalmasını gerektiriyorsa veritabanları yedeklemeler için varsayılan coğrafi olarak yedekli depolamayı kullanmaktan kaçınmalıdır. Not: T-SQL kullanarak veritabanı oluşturulurken Azure İlkesi uygulanmaz. Açıkça belirtilmezse, coğrafi olarak yedekli yedekleme depolaması olan veritabanı T-SQL aracılığıyla oluşturulur. | Reddet, Devre Dışı | 2.0.0 |
| SQL Yönetilen Örneği en düşük 1.2 TLS sürümüne sahip olmalıdır | En düşük TLS sürümünün 1.2 olarak ayarlanması, SQL Yönetilen Örneği yalnızca TLS 1.2 kullanan istemcilerden erişilebilir olmasını sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. | Denetim, Devre Dışı | 1.0.1 |
| SQL Yönetilen Örneği, GRS yedekleme yedekliliğini kullanmaktan kaçınmalıdır | Veri yerleşim kuralları verilerin belirli bir bölgede kalmasını gerektiriyorsa, Yönetilen Örnekler yedeklemeler için varsayılan coğrafi olarak yedekli depolamayı kullanmaktan kaçınmalıdır. Not: T-SQL kullanarak veritabanı oluşturulurken Azure İlkesi uygulanmaz. Açıkça belirtilmezse, coğrafi olarak yedekli yedekleme depolaması olan veritabanı T-SQL aracılığıyla oluşturulur. | Reddet, Devre Dışı | 2.0.0 |
| SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır | Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| belirtilen alt ağdan gelen trafiğe izin vermek için Azure SQL Veritabanı sanal ağ güvenlik duvarı kuralı etkinleştirilmelidir | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan Azure SQL Veritabanı'a giden trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. | AuditIfNotExists | 1.0.0 |
| Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir | Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
SQL Yönetilen Örnek
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Müşteri tarafından yönetilen anahtar şifrelemesi, Arc SQL yönetilen örnekleri için CMK Şifrelemesi'nin bir parçası olarak kullanılmalıdır. | CMK şifrelemesinin bir parçası olarak Müşteri tarafından yönetilen anahtar şifrelemesi kullanılmalıdır. https://aka.ms/EnableTDEArcSQLMI adresinden daha fazla bilgi edinin. | Denetim, Devre Dışı | 1.0.0 |
| Arc SQL yönetilen örnekleri için TLS protokolü 1.2 kullanılmalıdır. | Ağ ayarlarının bir parçası olarak Microsoft, SQL Server'larda TLS protokolleri için yalnızca TLS 1.2'ye izin vermenizi önerir. ADRESINDE SQL Server https://aka.ms/TlsSettingsSQLServeriçin ağ ayarları hakkında daha fazla bilgi edinin. | Denetim, Devre Dışı | 1.0.0 |
| Arc SQL yönetilen örnekleri için Saydam Veri Şifrelemesi etkinleştirilmelidir. | Azure Arc özellikli bir SQL Yönetilen Örneği bekleyen saydam veri şifrelemesini (TDE) etkinleştirin. https://aka.ms/EnableTDEArcSQLMI adresinden daha fazla bilgi edinin. | Denetim, Devre Dışı | 1.0.0 |
SQL Server
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: SQL VM'ye sistem tarafından atanan kimliği etkinleştirme | Sistem tarafından atanan kimliği SQL sanal makinelerine uygun ölçekte etkinleştirin. Bu ilkeyi abonelik düzeyinde atamanız gerekir. Kaynak grubu düzeyinde atama beklendiği gibi çalışmaz. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| SQL en iyi yöntemler değerlendirmesini etkinleştirmek veya devre dışı bırakmak için Arc özellikli Sunucuları SQL Server uzantısı yüklü olarak yapılandırın. | En iyi yöntemleri değerlendirmek için Arc özellikli sunucularınızdaki SQL server örneklerinde SQL en iyi yöntemler değerlendirmesini etkinleştirin veya devre dışı bırakın. https://aka.ms/azureArcBestPracticesAssessment adresinden daha fazla bilgi edinin. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Uygun Arc özellikli SQL Server örneklerini Genişletilmiş Güvenlik Güncelleştirmeler abone olun. | Lisans Türü Ücretli veya PAYG olarak Genişletilmiş Güvenlik Güncelleştirmeler olarak ayarlanmış uygun Arc özellikli SQL Sunucuları örneklerine abone olun. Genişletilmiş güvenlik güncelleştirmeleri https://go.microsoft.com/fwlink/?linkid=2239401hakkında daha fazla bilgi. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Stack HCI
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Stack HCI sunucularının sürekli olarak zorunlu uygulama denetimi ilkeleri olmalıdır | Microsoft WDAC temel ilkesini en azından tüm Azure Stack HCI sunucularında zorunlu modda uygulayın. Uygulanan Windows Defender Uygulama Denetimi (WDAC) ilkeleri aynı kümedeki sunucular arasında tutarlı olmalıdır. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
| [Önizleme]: Azure Stack HCI sunucuları Güvenli çekirdek gereksinimlerini karşılamalıdır | Tüm Azure Stack HCI sunucularının Güvenli çekirdek gereksinimlerini karşıladığından emin olun. Güvenli çekirdek sunucu gereksinimlerini etkinleştirmek için: 1. Azure Stack HCI kümeleri sayfasından Windows Yönetici Center'a gidin ve Bağlan'ı seçin. 2. Güvenlik uzantısına gidin ve Güvenli çekirdek'i seçin. 3. Etkin olmayan herhangi bir ayarı seçin ve Etkinleştir'e tıklayın. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
| [Önizleme]: Azure Stack HCI sistemlerinde şifrelenmiş birimler olmalıdır | Azure Stack HCI sistemlerinde işletim sistemini ve veri birimlerini şifrelemek için BitLocker kullanın. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
| [Önizleme]: Azure Stack HCI sistemlerinde konak ve VM ağı korunmalıdır | Azure Stack HCI konak ağındaki ve sanal makine ağ bağlantılarında verileri koruyun. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
Depolama
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure NetApp Files SMB Birimleri SMB3 şifrelemesi kullanmalıdır | Veri bütünlüğünü ve veri gizliliğini sağlamak için SMB3 şifrelemesi olmadan SMB Birimlerinin oluşturulmasına izin verme. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| NFSv4.1 türünde Azure NetApp Files Birimleri Kerberos veri şifrelemesi kullanmalıdır | Verilerin şifrelendiğinden emin olmak için yalnızca Kerberos gizlilik (5p) güvenlik modunun kullanılmasına izin verin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| NFSv4.1 türünde Azure NetApp Files Birimleri Kerberos veri bütünlüğünü veya veri gizliliğini kullanmalıdır | Veri bütünlüğünü ve veri gizliliğini sağlamak için en az Kerberos bütünlüğü (krb5i) veya Kerberos gizliliği (krb5p) seçildiğinden emin olun. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure NetApp Dosyalar Birimleri NFSv3 protokol türünü kullanmamalıdır | Birimlere güvenli olmayan erişimi önlemek için NFSv3 protokol türünün kullanılmasına izin verme. Veri bütünlüğünü ve şifrelemeyi sağlamak için NFS birimlerine erişmek için Kerberos protokolüne sahip NFSv4.1 kullanılmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Blob groupID için özel DNS Bölge Kimliği yapılandırma | Blob groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| blob_secondary groupID için özel DNS Bölge Kimliği yapılandırma | blob_secondary groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dfs groupID için özel DNS Bölge Kimliği yapılandırma | Dfs groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| dfs_secondary groupID için özel DNS Bölge Kimliği yapılandırma | dfs_secondary groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dosya groupID için özel DNS Bölge Kimliği yapılandırma | Bir dosya grubu kimliği özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Kuyruk groupID için özel DNS Bölge Kimliği yapılandırma | Özel DNS bölge grubunu, bir kuyruk grubu kimliği özel uç noktasının DNS çözümlemesini geçersiz kacak şekilde yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| queue_secondary groupID için özel DNS Bölge Kimliği yapılandırma | queue_secondary groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Tablo groupID için özel DNS Bölge Kimliği yapılandırma | Bir tablo groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| table_secondary groupID için özel DNS Bölge Kimliği yapılandırma | table_secondary groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Web groupID için özel DNS Bölge Kimliği yapılandırma | Bir web groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| web_secondary groupID için özel DNS Bölge Kimliği yapılandırma | web_secondary groupID özel uç noktasının DNS çözümlemesini geçersiz kılmak için özel DNS bölge grubunu yapılandırın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Dosya Eşitleme özel DNS bölgelerini kullanacak şekilde yapılandırma | kayıtlı bir sunucudan Depolama Eşitleme Hizmeti kaynak arabirimlerine yönelik özel uç noktalara erişmek için DNS'nizi özel uç noktanızın özel IP adreslerine doğru adları çözümlemek üzere yapılandırmanız gerekir. Bu ilke, Depolama Eşitleme Hizmeti özel uç noktalarınızın arabirimleri için Gerekli Azure Özel DNS Bölgesi ve A kayıtlarını oluşturur. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Özel uç noktalarla Azure Dosya Eşitleme yapılandırma | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel bir uç nokta dağıtılır. Bu, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Bir veya daha fazla özel uç noktanın tek başına varlığı genel uç noktayı devre dışı bırakmaz. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics çalışma alanına Blob Hizmetleri için tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir blob Hizmeti oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Blob Hizmetleri için tanılama ayarlarını dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Dosya Hizmetleri'nin Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir dosya Hizmeti oluşturulduğunda veya güncelleştirildiğinde, kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Dosya Hizmetleri için tanılama ayarlarını dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Log Analytics çalışma alanına Kuyruk Hizmetleri için tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir kuyruk Hizmeti oluşturulduğunda veya güncelleştirildiğinde, Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Kuyruk Hizmetleri için tanılama ayarlarını dağıtır. Not: Bu ilke Depolama Hesap oluşturma işleminde tetiklenmez ve hesabın güncelleştirilmesi için bir düzeltme görevi oluşturulmasını gerektirir. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| log analytics çalışma alanına Depolama hesapları için tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir depolama hesabı oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına aktarmak için Depolama hesapları için tanılama ayarlarını dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Tablo Hizmetleri'nin Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir tablo Hizmeti oluşturulduğunda veya güncelleştirildiğinde Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Tablo Hizmetleri tanılama ayarlarını dağıtır. Not: Bu ilke Depolama Hesap oluşturma işleminde tetiklenmez ve hesabın güncelleştirilmesi için bir düzeltme görevi oluşturulmasını gerektirir. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Depolama hesabında güvenli veri aktarımını yapılandırma | Güvenli aktarım, depolama hesabını yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Değiştir, Devre Dışı | 1.0.0 |
| Depolama hesabını özel bağlantı bağlantısı kullanacak şekilde yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için depolama hesaplarını yapılandırma | Depolama Hesaplarının güvenliğini artırmak için, genel İnternet'te kullanıma sunulmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/storageaccountpublicnetworkaccessgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Değiştir, Devre Dışı | 1.0.1 |
| Depolama hesabınızın genel erişiminin izin verilmeyen şekilde yapılandırılması | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | Değiştir, Devre Dışı | 1.0.0 |
| blob sürümü oluşturmayı etkinleştirmek için Depolama hesabınızı yapılandırma | Bir nesnenin önceki sürümlerini otomatik olarak korumak için Blob depolama sürümü oluşturmayı etkinleştirebilirsiniz. Blob sürümü oluşturma etkinleştirildiğinde, değiştirildiğinde veya silindiğinde verilerinizi kurtarmak için blobun önceki sürümlerine erişebilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarında Depolama için Defender'ı dağıtma (Klasik) | Bu ilke, depolama hesaplarında Depolama için Defender'ı (Klasik) etkinleştirir. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli depolama Depolama Hesapları için etkinleştirilmelidir | Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi yedekliliği kullanma | Denetim, Devre Dışı | 1.0.0 |
| HPC Önbelleği hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarlarla Azure HPC Önbelleği geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| Değiştir - genel ağ erişimini devre dışı bırakmak için Azure Dosya Eşitleme yapılandırma | Azure Dosya Eşitleme İnternet'e erişilebilen genel uç noktası, kuruluş ilkeniz tarafından devre dışı bırakılır. Depolama Eşitleme Hizmeti'ne özel uç noktaları aracılığıyla erişmeye devam edebilirsiniz. | Değiştir, Devre Dışı | 1.0.0 |
| Değiştirme - blob sürümü oluşturmayı etkinleştirmek için Depolama hesabınızı yapılandırma | Bir nesnenin önceki sürümlerini otomatik olarak korumak için Blob depolama sürümü oluşturmayı etkinleştirebilirsiniz. Blob sürümü oluşturma etkinleştirildiğinde, değiştirildiğinde veya silindiğinde verilerinizi kurtarmak için blobun önceki sürümlerine erişebilirsiniz. Blob depolama sürümü oluşturmayı etkinleştirmek için mevcut depolama hesaplarının değiştirilmeyeceğini lütfen unutmayın. Yalnızca yeni oluşturulan depolama hesaplarında Blob depolama sürümü oluşturma etkin olur | Değiştir, Devre Dışı | 1.0.0 |
| Azure Dosya Eşitleme için genel ağ erişimi devre dışı bırakılmalıdır | Genel uç noktayı devre dışı bırakmak, Depolama Eşitleme Hizmeti kaynağınıza erişimi kuruluşunuzun ağında onaylanan özel uç noktaları hedefleyen isteklerle kısıtlamanıza olanak tanır. Genel uç noktaya yönelik isteklere izin verme konusunda doğal olarak güvenli olmayan bir şey yoktur, ancak yasal, yasal veya kurumsal ilke gereksinimlerini karşılamak için bunu devre dışı bırakmak isteyebilirsiniz. Kaynağın incomingTrafficPolicy değerini AllowVirtualNetworksOnly olarak ayarlayarak Depolama Eşitleme Hizmeti için genel uç noktayı devre dışı bırakabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kuyruk Depolama şifreleme için müşteri tarafından yönetilen anahtarı kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak kuyruk depolama alanınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Depolama hesap şifreleme kapsamları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Depolama hesabı şifreleme kapsamlarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure anahtar kasası anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. depolama hesabı şifreleme kapsamları hakkında daha fazla bilgi için bkz https://aka.ms/encryption-scopes-overview. . | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesap şifreleme kapsamları bekleyen veriler için çift şifreleme kullanmalıdır | Ek güvenlik için depolama hesabı şifreleme kapsamlarınızın geri kalanında şifreleme için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi, verilerinizin iki kez şifrelenmesini sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesap anahtarlarının süresi dolmamalıdır | Anahtar süre sonu ilkesi ayarlandığında, anahtarların süresi dolduğunda işlem yaparak hesap anahtarlarının güvenliğini artırmak için kullanıcı depolama hesabı anahtarlarının süresinin dolmadığından emin olun. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Depolama hesapları güvenilen Microsoft hizmetleri erişime izin vermelidir | Depolama hesaplarıyla etkileşim kuran bazı Microsoft hizmetleri, ağ kuralları aracılığıyla erişim verilmeyen ağlardan çalışır. Bu hizmet türünün amaçlandığı gibi çalışmasına yardımcı olmak için, güvenilen Microsoft hizmetleri kümesinin ağ kurallarını atlamasına izin verin. Bu hizmetler daha sonra depolama hesabına erişmek için güçlü kimlik doğrulaması kullanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları izin verilen SKU'lar ile sınırlandırılmalıdır | Kuruluşunuzun dağıtabileceği depolama hesabı SKU'ları kümesini kısıtlayın. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları genel ağ erişimini devre dışı bırakmalıdır | Depolama Hesaplarının güvenliğini artırmak için, genel İnternet'te kullanıma sunulmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/storageaccountpublicnetworkaccessgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapların altyapı şifrelemesi olmalıdır | Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarında paylaşılan erişim imzası (SAS) ilkeleri yapılandırılmış olmalıdır | Depolama hesaplarının paylaşılan erişim imzası (SAS) süre sonu ilkesinin etkinleştirildiğinden emin olun. Kullanıcılar, Azure Depolama hesabındaki kaynaklara erişim yetkisi vermek için SAS kullanır. Kullanıcı SAS belirteci oluşturduğunda SAS süre sonu ilkesi üst süre sonu sınırı önerir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları belirtilen en düşük TLS sürümüne sahip olmalıdır | İstemci uygulamasıyla depolama hesabı arasında güvenli iletişim için en düşük TLS sürümünü yapılandırın. Güvenlik riskini en aza indirmek için önerilen en düşük TLS sürümü, şu anda TLS 1.2 olan en son sürümdür. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları kiracılar arası nesne çoğaltmasını engellemelidir | Depolama hesabınız için nesne çoğaltmanın denetim kısıtlaması. Varsayılan olarak, kullanıcılar bir Azure AD kiracısında bir kaynak depolama hesabı ve farklı bir kiracıdaki hedef hesapla nesne çoğaltmayı yapılandırabilir. Müşterinin verileri, müşterinin sahip olduğu bir depolama hesabına çoğaltılabildiğinden bu bir güvenlik sorunudur. allowCrossTenantReplication ayarını false olarak ayarlayarak, nesne çoğaltma yalnızca hem kaynak hem de hedef hesaplar aynı Azure AD kiracısındaysa yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları paylaşılan anahtar erişimini engellemelidir | Depolama hesabınıza yönelik istekleri yetkilendirmek için Azure Active Directory'nin (Azure AD) denetim gereksinimi. Varsayılan olarak, istekler Azure Active Directory kimlik bilgileriyle veya Paylaşılan Anahtar yetkilendirmesi için hesap erişim anahtarı kullanılarak yetkilendirilebilir. Bu iki yetkilendirme türünden Azure AD, Paylaşılan Anahtara göre üstün güvenlik ve kullanım kolaylığı sağlar ve Microsoft tarafından önerilen seçenektir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı | 1.0.3 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Tablo Depolama şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak tablo depolama alanınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Stream Analytics
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Stream Analytics işleri verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Stream Analytics işlerinizin meta verilerini ve özel veri varlıklarını depolama hesabınızda güvenli bir şekilde depolamak istediğinizde müşteri tarafından yönetilen anahtarları kullanın. Bu, Stream Analytics verilerinizin şifrelenme şekli üzerinde tam denetim sağlar. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Stream Analytics işi güvenilen girişlere ve çıkışlara bağlanmalıdır | Stream Analytics işlerinin izin listesinde tanımlanmayan rastgele Giriş veya Çıkış bağlantılarına sahip olmadığından emin olun. Bu, Stream Analytics işlerinin kuruluşunuzun dışındaki rastgele havuzlara bağlanarak veri sızdırmadığını denetler. | Reddet, Devre Dışı Bırak, Denetle | 1.1.0 |
| Stream Analytics işi, uç noktaların kimliğini doğrulamak için yönetilen kimlik kullanmalıdır | Stream Analytics işlerinin yalnızca yönetilen kimlik kimlik doğrulaması kullanarak uç noktalara bağlandığından emin olun. | Reddet, Devre Dışı Bırak, Denetle | 1.0.0 |
Sinaps
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Synapse çalışma alanında denetim etkinleştirilmelidir | Synapse çalışma alanınızda denetim, ayrılmış SQL havuzlarındaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Synapse Analytics ayrılmış SQL havuzları şifrelemeyi etkinleştirmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için Azure Synapse Analytics ayrılmış SQL havuzları için saydam veri şifrelemesini etkinleştirin. Havuz için saydam veri şifrelemesini etkinleştirmenin sorgu performansını etkileyeebileceğini lütfen unutmayın. Diğer ayrıntılar için bkz. https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Synapse Workspace SQL Server TLS sürüm 1.2 veya daha yeni bir sürümü çalıştırıyor olmalıdır | TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure Synapse çalışma alanı SQL sunucunuza yalnızca TLS 1.2 veya daha yeni sürümü kullanan istemcilerden erişilmesini sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Synapse çalışma alanları yalnızca onaylanan hedeflere giden veri trafiğine izin vermelidir | Yalnızca onaylanan hedeflere giden veri trafiğine izin vererek Synapse çalışma alanınızın güvenliğini artırın. Bu, verileri göndermeden önce hedefi doğrulayarak veri sızdırmayı önlemeye yardımcı olur. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Azure Synapse çalışma alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması Synapse çalışma alanının genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak Synapse çalışma alanlarınızın görünür kalmasını sınırlayabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Synapse çalışma alanlarında depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla varsayılan şifrelemenin üzerine ikinci bir şifreleme katmanı ekleyerek çift şifreleme sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Synapse Çalışma Alanı Ayrılmış SQL en düşük TLS sürümünü yapılandırma | Müşteriler hem yeni Synapse çalışma alanları hem de mevcut çalışma alanları için API'yi kullanarak en düşük TLS sürümünü yükseltebilir veya düşürebilir. Bu nedenle, çalışma alanlarında daha düşük bir istemci sürümü kullanması gereken kullanıcılar bağlanabilirken, güvenlik gereksinimi olan kullanıcılar en düşük TLS sürümünü yükseltebilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Değiştir, Devre Dışı | 1.1.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure Synapse çalışma alanlarını yapılandırma | Synapse çalışma alanınızın genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanlarını özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Synapse çalışma alanına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Azure Synapse çalışma alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure Synapse çalışma alanlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Synapse çalışma alanlarını denetimin etkin olması için yapılandırma | SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için Synapse çalışma alanlarında denetimin etkinleştirilmesi gerekir. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Synapse çalışma alanlarını Log Analytics çalışma alanında denetimi etkinleştirecek şekilde yapılandırma | SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için Synapse çalışma alanlarında denetimin etkinleştirilmesi gerekir. Denetim etkinleştirilmemişse, bu ilke denetim olaylarını belirtilen Log Analytics çalışma alanına akacak şekilde yapılandıracaktır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanlarını kimlik doğrulaması için yalnızca Microsoft Entra kimliklerini kullanacak şekilde yapılandırma | Synapse Çalışma Alanlarını Microsoft Entra-only kimlik doğrulamasını kullanacak şekilde gerekli kılıp yeniden yapılandırın. Bu ilke, yerel kimlik doğrulaması etkinken çalışma alanlarının oluşturulmasını engellemez. Yerel kimlik doğrulamasının etkinleştirilmesini engeller ve oluşturma sonrasında kaynaklarda Microsoft Entra-only kimlik doğrulamasını yeniden etkinleştirir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Değiştir, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanlarını, çalışma alanı oluşturma sırasında kimlik doğrulaması için yalnızca Microsoft Entra kimliklerini kullanacak şekilde yapılandırma | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını gerekli kılıp yeniden yapılandırın. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Değiştir, Devre Dışı | 1.2.0 |
| Azure Synapse çalışma alanlarında ip güvenlik duvarı kuralları kaldırılmalıdır | Tüm IP güvenlik duvarı kurallarının kaldırılması, Azure Synapse çalışma alanınıza yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, çalışma alanında genel ağ erişimine izin veren güvenlik duvarı kurallarının oluşturulmasını denetler. | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanlarında yönetilen çalışma alanı sanal ağı etkinleştirilmelidir | Yönetilen çalışma alanı sanal ağını etkinleştirmek, çalışma alanınızın diğer çalışma alanlarından yalıtılmış bir ağ olmasını sağlar. Bu sanal ağda dağıtılan veri tümleştirmesi ve Spark kaynakları, Spark etkinlikleri için kullanıcı düzeyinde yalıtım da sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Synapse tarafından yönetilen özel uç noktaların yalnızca onaylı Azure Active Directory kiracılarındaki kaynaklara bağlanması gerekir | Synapse çalışma alanınızı yalnızca onaylı Azure Active Directory (Azure AD) kiracılarındaki kaynaklara bağlantılara izin vererek koruyun. Onaylanan Azure AD kiracıları ilke ataması sırasında tanımlanabilir. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Synapse çalışma alanı denetim ayarları, kritik etkinlikleri yakalamak için yapılandırılmış eylem gruplarına sahip olmalıdır | Denetim günlüklerinizin mümkün olduğunca kapsamlı olduğundan emin olmak için AuditActionsAndGroups özelliği tüm ilgili grupları içermelidir. En az SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP ve BATCH_COMPLETED_GROUP eklemenizi öneririz. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanlarında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasını kullanmasını gerektir. Bu ilke, yerel kimlik doğrulaması etkinken çalışma alanlarının oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanları, çalışma alanı oluşturma sırasında kimlik doğrulaması için yalnızca Microsoft Entra kimliklerini kullanmalıdır | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Denetim, Reddetme, Devre Dışı | 1.2.0 |
| Depolama hesabı hedefine SQL denetimine sahip Synapse çalışma alanları 90 gün veya daha uzun saklama ile yapılandırılmalıdır | Olay araştırma amacıyla Synapse çalışma alanınızın SQL denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sistem İlkesi
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| İzin verilen kaynak dağıtım bölgeleri | Bu ilke, aboneliğinizin kaynakları dağıtabileceği en iyi kullanılabilir bölgeler kümesini korur. Bu ilkenin amacı, aboneliğinizin azure hizmetlerine en iyi performansla tam erişime sahip olduğundan emin olmaktır. Ek veya farklı bölgelere ihtiyacınız varsa desteğe başvurun. | reddet | 1.0.0 |
Etiketler
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Etiketi kaynak gruplarına ekleme | Bu etiketi içermeyen bir kaynak grubu oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | değiştir | 1.0.0 |
| Etiketi kaynaklara ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. Kaynak gruplarındaki etiketleri değiştirmez. | değiştir | 1.0.0 |
| Aboneliklere etiket ekleme | Belirtilen etiketi ve değeri bir düzeltme görevi aracılığıyla aboneliklere ekler. Etiketin değeri farklıysa etiket değiştirilmez. İlke düzeltme hakkında daha fazla bilgi için bkz https://aka.ms/azurepolicyremediation . | değiştir | 1.0.0 |
| Kaynak gruplarına etiket ekleme veya etiketi değiştirme | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. | değiştir | 1.0.0 |
| Kaynaklara etiket ekleme veya etiketi değiştirme | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Kaynak gruplarındaki etiketleri değiştirmez. | değiştir | 1.0.0 |
| Aboneliklerde etiket ekleme veya değiştirme | Bir düzeltme görevi aracılığıyla aboneliklerde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. İlke düzeltme hakkında daha fazla bilgi için bkz https://aka.ms/azurepolicyremediation . | değiştir | 1.0.0 |
| Kaynak grubundaki etiketi ve değerini ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde, kaynak grubundaki belirtilen etiketi ve değerini ekler. Bu kaynaklar değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynakların etiketlerini değiştirmez. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.0 |
| Etiketi ve değerini kaynak gruplarına ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Bu kaynak grupları değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynak gruplarının etiketlerini değiştirmez. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.0 |
| Etiketi ve değerini kaynaklara ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Bu kaynaklar değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynakların etiketlerini değiştirmez. Kaynak grupları için geçerli değildir. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.1 |
| Etiketi kaynak grubundan devralma | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde üst kaynak grubunda belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. | değiştir | 1.0.0 |
| Etiket eksikse, etiketi kaynak grubundan devralma | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde, üst kaynak grubundaki belirtilen etiketi ve değerini ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | değiştir | 1.0.0 |
| Abonelikten bir etiketi devralma | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde bunu içeren abonelikteki belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. | değiştir | 1.0.0 |
| Etiket eksikse, etiketi abonelikten devralma | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde bunu içeren abonelikteki belirtilen etiketi ve değerini ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | değiştir | 1.0.0 |
| Etiketi ve değerini kaynak gruplarında gerektirme | Kaynak gruplarında gerekli bir etiketi ve değerini zorunlu kılar. | reddet | 1.0.0 |
| Etiketi ve değerini kaynaklarda gerektirme | Gerekli bir etiketi ve değerini zorunlu kılar. Kaynak grupları için geçerli değildir. | reddet | 1.0.1 |
| Etiketi kaynak gruplarında gerektirme | Etiketin kaynak gruplarında mevcut olmasını zorunlu kılar. | reddet | 1.0.0 |
| Etiketi kaynaklarda gerektirme | Etiketin mevcut olmasını zorunlu kılar. Kaynak grupları için geçerli değildir. | reddet | 1.0.1 |
| Kaynakların belirli bir etikete sahip olmamasını gerektirir. | Verilen etiketi içeren bir kaynağın oluşturulmasını reddeder. Kaynak grupları için geçerli değildir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Güvenilen Başlatma
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Diskler ve işletim sistemi görüntüsü TrustedLaunch'u desteklemelidir | TrustedLaunch, işletim sistemi diskini desteklemek için işletim sistemi diski ve işletim sistemi görüntüsü gerektiren bir Sanal Makinenin güvenliğini artırır (2. Nesil). TrustedLaunch hakkında daha fazla bilgi edinmek için bkz. https://aka.ms/trustedlaunch | Denetim, Devre Dışı | 1.0.0 |
| Sanal Makinede TrustedLaunch etkin olmalıdır | Gelişmiş güvenlik için Sanal Makinede TrustedLaunch'ü etkinleştirin, TrustedLaunch'ı destekleyen VM SKU'su (2. Nesil) kullanın. TrustedLaunch hakkında daha fazla bilgi edinmek için bkz. https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Denetim, Devre Dışı | 1.0.0 |
VirtualEnclaves
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Depolama Hesaplarını yalnızca ağ ACL atlama yapılandırması üzerinden ağ erişimini kısıtlayacak şekilde yapılandırın. | Depolama Hesaplarının güvenliğini artırmak için yalnızca ağ ACL'sini atlayarak erişimi etkinleştirin. Bu ilke, depolama hesabı erişimi için özel bir uç noktayla birlikte kullanılmalıdır. | Değiştir, Devre Dışı | 1.0.0 |
| İzin verilenler listesi dışında kaynak türlerinin oluşturulmasına izin verme | Bu ilke, bir sanal kapanımda güvenliği korumak için açıkça izin verilen türlerin dışında kaynak türlerinin dağıtımını engeller. https://aka.ms/VirtualEnclaves | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Belirli sağlayıcılar altında belirtilen kaynak türlerinin veya türlerinin oluşturulmasına izin verme | Parametre listesi aracılığıyla belirtilen kaynak sağlayıcılarının ve türlerin güvenlik ekibinin açık onayı olmadan oluşturulmasına izin verilmez. İlke atamasına bir muafiyet verilirse, kaynak kapanım içinde kullanılabilir. https://aka.ms/VirtualEnclaves | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Ağ arabirimleri, onaylanan sanal ağın onaylı bir alt ağına bağlanmalıdır | Bu ilke, ağ arabirimlerinin onaylanmamış bir sanal ağa veya alt ağa bağlanmasını engeller. https://aka.ms/VirtualEnclaves | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama Hesapları yalnızca ağ ACL atlama yapılandırması üzerinden ağ erişimini kısıtlamalıdır. | Depolama Hesaplarının güvenliğini artırmak için yalnızca ağ ACL'sini atlayarak erişimi etkinleştirin. Bu ilke, depolama hesabı erişimi için özel bir uç noktayla birlikte kullanılmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Sanal Makine Görüntü Oluşturucu
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
Web PubSub
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Web PubSub Hizmeti genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Web PubSub hizmetinin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak Azure Web PubSub hizmetinin kullanıma açık kalmasını sınırlayabilir. Daha fazla bilgi için: https://aka.ms/awps/networkacls. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Web PubSub Hizmeti tanılama günlüklerini etkinleştirmelidir | Tanılama günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Web PubSub Hizmeti'nin yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Web PubSub Hizmeti'nin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Web PubSub Hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | Desteklenen SKU ile Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub hizmetine eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Yerel kimlik doğrulamasını devre dışı bırakmak için Azure Web PubSub Hizmetini yapılandırma | Azure Web PubSub Hizmetinizin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Web PubSub Hizmeti'ni genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel İnternet üzerinden erişilmemesi için Azure Web PubSub kaynağınız için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/awps/networkacls. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Web PubSub Hizmeti'ni özel DNS bölgelerini kullanacak şekilde yapılandırma | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure Web PubSub hizmetine çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/awps/privatelink. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Web PubSub Hizmetini özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure Web PubSub hizmetine eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | DeployIfNotExists, Devre Dışı | 1.0.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.